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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 各 
个 领域 取得 了 化 断 性 的 优势 ;也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 非 
出 、 独 领 风骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 学 科 中 
的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科 学 著作 ， 不 仅 辟 划 了 研究 
的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流 
逝 而 减退 。 

近年 ， 在 全 球 信 息 化 大 寡 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 益 
迫切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ， 而 专业 教材 的 建设 在 教育 战略 上 显 
得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国家 在 其 计算 机 科学 发 展 的 
几 十 年 间 积淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教材 
将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 
大 学 的 必由之路 。 

机 械 工 业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 年 开始 ， 我 们 就 将 
工作 重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson, McGraw- 
Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良好 的 合作 关系 ， 
从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, Brian W. 
Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. Ullman, 
Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry L. Peterson 
等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 
大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛书 的 品位 和 格调 。 

“计算 机 科学 从 书 ” 的 出 版 工作 得 到 了 国内 外 学 者 的 鼎力 相助 ， 国 内 的 专家 不 仅 提 供 了 中 
肯 的 选 题 指导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ， 而 原 书 的 作者 也 相当 关注 其 作品 在 中 
国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 , “计算 机 科学 丛书 ”已 经 出 版 了 近 两 百 个 
品种 ， 这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 。 其 影 
印 版 “经 典 原 版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因素 使 我 们 的 图 
书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 善 和 教材 改革 的 逐渐 深化 ， 
教育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 入 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 而 反 
馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公司 欢迎 老师 和 读者 对 我 们 的 工作 提出 
建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


华章 网 站 : www.hzbook.com zars 
电子 邮件 ，hzjsj@hzbook.com = 
联系 电话 : (010) 88379604 
联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 华章 教育 


邮政 编码 ，100037 华章 科技 图 书 出 版 中 心 
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接触 本 书 原著 是 在 2017 年 11 月 ， 时 值 我 受 西 北 工 业 大 学 国际 著名 高 校 访问 计划 资助 
对 UC Berkeley (加 州 大 学 伯克利 分 校 ) 进行 短期 学 术 访 问 。 众 所 周知 ，UC Berkeley 的 计算 
机 科学 专业 在 国际 上 享有 盛名 ， 为 全 球 的 计算 机 专业 人 才 培 养 以 及 技术 发 展 做 出 了 杰出 贡 
献 。 为 此 ， 我 希望 借 此 机 会 从 多 个 方面 来 展开 学 习 和 交流 。 一 方面 ， 我 应 邀 与 UC Berkeley 
PATH ( Partners for Advanced Transportation Technology) 研究 所 、 机 械 工程 系 (ME)、 电 气 
工程 与 计算 机 科学 系 (EECS) 等 机 构 的 学 者 及 其 团队 就 无 人 车 与 智能 交通 领域 的 研究 进行 
深入 、 充 分 的 学 术 交 流 。 同 时 ， 我 也 抓紧 时 间 参 与 电气 工程 与 计算 机 科学 系 的 本 科 生 、 研 究 
生 课 程 ， 以 体验 和 了 解 该 专业 的 教学 体系 、 相 关 课 程 的 内 容 组 织 和 教学 方法 等 。 鉴 于 我 已 从 
BRAT RSME FRE, Edward Ashford Lee 教授 所 开设 的 “嵌入 式 系统 导论 "(Introduction 
of Embedded System， 课 程 代码 EECS 149) 课程 也 就 成 为 要 旁听 的 重点 ， 并 提前 购买 了 本 
书 原著 (原著 采用 了 新 的 出 版 方式 ， 课 程 网 站 上 提供 了 可 下 载 的 PDF 文件 ， 本 书 “ 前 言 ” 
对 此 进行 了 简要 说 明 ) 。 藉 由 课程 ， 与 Edward Ashford Lee 教授 进行 了 交流 ， 随 后 应 教授 的 
邀请 在 混合 与 说 入 式 软 件 系 统 中 心 (CHESS) 做 了 学 术 报 告 ， 并 初步 达成 了 将 这 本 优秀 著作 
翻译 为 中 文 的 意向 ， 是 为 本 翻译 工作 的 开端 。 

纵 观 全 书 ， 我 们 可 以 发 现 本 书 内 容 视角 独特 、 内 容 新 颖 、 方 法 独到 ， 其 立意 于 艇 人 式 系 
统 技术 发 展 的 新 阶段 一 一 信息 物理 融合 系统 (CPS)， 重 点 以 与 之 相关 的 数学 、 模 型 、 机 制 等 
计算 机 科学 的 理论 和 方法 为 主要 内 容 ， 形 成 了 一 个 强调 理论 性 和 原理 性 的 知识 体系 。 本 书 用 
“理论 ”的 方式 来 深入 阐述 租 入 式 系统 这 一 实践 性 强 的 工科 课程 ， 体 现 出 作者 深厚 的 理论 基 
础 、 广 博 的 专业 知识 以 及 创新 的 专业 思维 。 在 自然 科学 范畴 ， 归 纳 并 建立 正确 的 基础 理论 体 
系 或 者 用 这 样 的 理论 体系 来 指导 实践 ， 是 跳出 万 变现 象 来 彻底 解决 一 系列 科学 、 工 程 问题 的 
根本 。 如 爱 因 斯 坦 所 言 :“ 数 学 之 所 以 有 高 声誉 ， 另 一 个 理由 就 是 数学 使 得 自然 科学 实现 定 
理化 ， 给 予 自然 科学 某 种 程度 的 可 靠 性 。” 骨 人 式 系 统 基础 理论 体系 的 建立 也 是 如 此 ， 其 会 
让 具体 科学 、 工 程 问题 的 解决 更 为 可 靠 , 也 常常 可 以 免 去 租 入 式 系统 设计 过 程 中 由 经 验 性 、 
试验 性 工作 所 带 来 的 种 种 困扰 。 当 然 ， 从 理论 的 角度 出 发 来 学 习 艇 入 式 系 统 知 识 具有 两 大 挑 
R: 一 是 要 有 良好 的 理论 基础 ， 以 保证 对 本 书 内 容 的 深刻 理解 和 掌握 ; 二 是 要 有 良好 的 计算 
机 工程 基础 ， 以 实现 抽象 理论 与 具体 设计 方法 的 融会 贯通 。 这 对 读者 的 学 习 基 础 及 目标 都 提 
出 了 更 高 的 要 求 。 因 此 ， 本 书 适合 计算 机 科学 、 计 算 机 工程 及 相关 电子 类 专业 的 高 年 级 本 科 
生 和 研究 生 学 习 。 

我 于 2017 年 出 版 了 《让 入 式 系统 体系 、 原 理 与 设计 》 一 书 ， 该 书 偏重 于 计算 机 工程 相 
关 的 原理 与 方法 ， 与 本 书 的 内 容 体系 完全 不 同 。 显 然 ， 本 书 的 翻译 工作 对 于 我 来 说 将 是 一 
个 极为 宝贵 的 专业 学 习 机 会 ， 为 此 我 坚持 了 “ Working by Learning, Learning by Doing” fy 
工作 态度 以 及 一 人 完成 翻译 的 工作 方式 。 翻 译 是 二 次 创作 的 过 程 ， 科 技 著作 的 翻译 更 是 如 
此 一 一 既 要 准确 还 原 书 中 阐述 的 专业 知识 和 观点 ， 同 时 还 要 尽 可 能 润色 文字 以 符合 中 文 读者 
的 阅读 习惯 。 在 互联 网 时 代 ， 计 算 机 搜索 工具 和 翻译 工具 的 出 现 为 翻译 工作 提供 了 极 大 的 便 
利 。 不 可 否认 ， 基 于 大 数据 和 深度 学 习 的 自然 语言 翻译 技术 已 经 取得 了 长 足 的 进展 ,偶尔 也 


会 对 某 个 句子 给 出 令 人 赞叹 之 译 。 但 翻译 不 仅 是 语言 的 事情 ， 还 涉及 知识 、 领 域 、 文 化 、 习 
惯 等 多 个 方面 ， 因 此 ， 这 些 工 具 目 前 仍 只 能 作为 辅助 ， 距 离 完全 替代 人 的 工作 还 有 很 长 的 路 
要 走 。 为 了 做 到 尽量 准确 ， 在 翻译 过 程 中 我 不 断 查阅 资料 ， 尽 力 拓展 与 内 容 相 关 的 专业 知识 
并 不 断 学 习 翻 译 方法 和 规范 。 在 这 段 夜 以 继 日 的 日 子 里 ， 我 能 够 时 时 体会 到 深入 学 习 和 不 断 
进步 的 成 就 感 ， 这 已 经 完全 抵消 了 身体 上 的 疲劳 ! 正如 高 斯 所 言 :“ 给 我 最 大 快乐 的 ， 不 是 
已 懂得 的 知识 ， 而 是 不 断 学 习 ; 不 是 已 达到 的 高 度 ， 而 是 继续 努力 攀登 。” 这里， 也 引用 著 
名 作家 路 遥 先 生 一 段 经 典 的 文字 与 广大 读者 共勉 :“ 我 的 创作 历程 是 艰苦 地 摸索 前 行 的 历程 。 
几乎 每 走 一 步 都 要 付出 身心 方面 的 巨大 代价 。 我 认识 到 ， 文 学 创作 从 幼稚 趋向 于 成 熟 ， 没 有 
什么 便利 的 那些 所 谓 技巧 ， 而 是 用 自我 教育 的 方式 强调 自身 对 这 种 劳动 持 正 确 的 态度 ， 这 不 
是 “ 闹 着 玩 ”， 而 应 该 抱 有 庄严 献身 精神 ， 下 苗 功 夫 ……… 我 要 求 自 己 ， 在 任何 时 候 都 不 丧失 
一 个 普通 劳动 者 的 感觉 ， 要 永远 沉浸 在 生活 的 激流 之 中 。 所 有 这 些 我 都 仍 将 坚持 到 底 。” 

感谢 在 翻译 工作 期 间 给 予 我 关心 、 支 持 和 帮助 的 所 有 人 ! 特别 是 原著 的 两 位 作者 一 一 
UC Berkeley 电气 工程 与 计算 机 科学 系 的 Edward Ashford Lee 教授 和 Sanjit Arunkumar Seshia 
教授 ， 以 及 UC Berkeley PATH 研究 所 的 Zhang Wei-Bin 研究 员 ， 正 在 UC Berkeley 作 访 问 
教授 的 MINES Paristech 机 器 人 研究 中 心 主任 Arnaud de La Fortelle 教授 ， 西 北 工 业 大 学 计 
算 机 学 院 的 张 艳 宁 教 授 、 王 庆 教 授 、 尚 学 群 教授 、 郭 阳 明 教授 、 邓 和 硕 副 教授 、 吴 晓 副 教授 ， 
以 及 机 械 工 业 出 版 社 华章 公司 的 余 洁 编辑 、 张 梦 玲 编辑 和 姚 荤 编辑 ! 

感谢 在 书稿 校对 阶段 付出 辛勤 努力 、 贡 献 智慧 的 课题 组 硕士 研究 生 王 雨 佳 、 李 孝 武 、 谢 
策 、 李 刘洋 、 费 超 、 王 敏 、 谢 尘 玉 、 巩 政 ! 他 们 聪颖 好 学 、 充 满 活 力 又 富有 团队 合作 精神 ， 
希望 继续 与 他 们 共同 学 习 并 携手 迎接 新 的 挑战 ! 

感谢 我 的 家 人 ， 让 我 心中 充满 了 爱 和 责任 ， 也 给 予 了 我 不 断 前 行 的 力量 ! 特别 感谢 我 的 
太太 李 瑜 女士 ,感谢 她 一 如 既往 地 信任 和 支持 我 ， 在 这 段 漫长 的 日 子 里 再 一 次 打 理 了 家 庭 大 
大 小 小 的 事务 ， 让 我 能 够 静心 、 专 心 于 本 书 的 翻译 工作 ! 感谢 嘉 航 和 嘉 芮 两 位 小 朋友 ， 他 们 
让 生活 时 时 充满 童 趣 ， 愿 爱 陪伴 他 们 成 长 ! 

这 是 我 的 第 一 本 译作 。 虽 自觉 已 尽力 ， 但 个 人 知识 与 能 力 有 限 ， 不 妥 之 处 在 所 难免 ， 期 
待 广大 读者 的 宝贵 意见 和 建议 (我 的 邮箱 : kl.zhang@nwpu.edu.cn)。 
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本 书 内 容 


计算 机 及 软件 最 常见 的 用 途 是 在 人 类 消费 及 日 常 活动 中 进行 信息 处 理 , 我们 使 用 它们 
来 撰写 书籍 (就 像 本 书 )、 在 互联 网 上 查询 信息 、 通 过 电子 邮件 进行 通信 ， 以 及 记录 金融 数 
据 等 。 然 而 ， 生 活 中 绝 大 多 数 的 “计算 机 ”并 不 可 见 。 它 们 控制 汽车 的 引擎 、 刹 车 、 安 全 
带 、 安 全 气囊 以 及 音频 系统 ; 它们 将 你 的 声音 进行 数字 编码 ， 进 而 转换 为 无 线 电 信号 并 从 你 
的 手机 发 送 到 基站 ; 它们 控制 着 微波 炉 、 冰 箱 以 及 洗 碗 机 ; 它们 驱动 从 桌面 喷 墨 打印 机 到 工 
业 大 容量 打印 机 等 各 式 打 印 设备 ;它们 控制 工厂 车 间 的 机 器 人 、 电 厂 的 发 电机 、 化 学 工厂 的 
生产 过 程 以 及 城市 的 交通 灯 ; 它们 在 生物 样本 中 检测 细菌 ， 构 建 人 体内 部 的 图 像 并 评估 生命 
体征 ; 它们 从 太空 的 无 线 电信 号 中 寻找 超新星 及 地 外 智慧 生物 ; 它们 给 予 玩具 “生命 "， 使 
其 可 以 与 人 进行 触觉 、 听 觉 的 交互 ; 它们 控制 飞行 器 及 火车 ， 等 等 。 这 些 “ 隐 项 ”的 计算 机 
MA ARAK AB (Embedded System)， 其 中 所 运行 的 软件 则 被 称 为 戏 入 式 软件 (Embedded 
Software ) 。 

尽管 庶 人 式 系 统 已 广泛 地 存在 和 应 用 ， 但 计算 机 科学 在 其 相对 较 短 的 发 展 历程 中 仍 以 信 
息 处 理 为 核心 。 直 到 近 些 年 ， 骨 入 式 系统 才 得 到 研究 者 越 来 越 多 的 关注 。 同 样 ， 也 是 直到 近 
些 年 ， 本 领域 的 研究 者 和 机 构 才 日 益 意识 到 设计 和 分 析 这 些 系统 需要 不 同 的 工程 技术 。 尽 管 
ASABE A 20 世纪 70 年 代 就 被 应 用 ， 但 这 些 系 统 更 多 时 候 是 被 简单 地 看 作 小 型 计算 机 系 
统 ， 如 何 应 对 资源 受 限 (处 理 能 力 、 能 源 、 存 储 空 间 受 限 等 ) 是 其 核心 工程 问题 。 由 此 ， 设 
计 优 化 就 成 为 戏 入 式 系 统 的 工程 挑战 。 由 于 所 有 设计 都 会 从 优化 过 程 中 受益 ， 因 此 ， 舱 入 式 
系统 学 科 也 就 与 计算 机 科学 的 其 他 学 科 没 什么 区 别 ， 只 是 要 求 我 们 更 加 积极 地 应 用 这 些 共性 
优化 技术 。 

近来 ， 研 究 者 已 经 认识 到 和 能 入 式 系统 的 主要 挑战 源 自 于 其 与 物理 进程 的 交互 ， 而 并 非 资 
源 的 限制 。 美 国 国家 科学 基金 会 (NSF) 的 项 目 主管 Helen Gill 率先 提出 了 “信息 物理 融合 
系统 ”(Cyber-Physical System, CPS) 这 一 概念 ， 以 强调 计算 进程 与 物理 进程 的 集成 。 在 信 
息 物 理 融 合 系统 中 ， 骨 入 式 计 算 机 与 网 络 对 物理 进程 进行 监测 和 控制 ， 且 物理 进程 与 计算 之 
间 存 在 着 相互 影响 的 反馈 环 路 。 为 此 ,该 类 系统 的 设计 就 需要 充分 理解 计算 机 、 软 件 、 网 络 
以 及 物理 进程 之 间 相 互 关 联 的 动态 特性 。 研 究 关 联 的 动态 特性 就 使 得 府 入 式 系统 有 别 于 其 他 
学 科 。 

在 研究 CPS 的 过 程 中 ， 所 谓 的 通用 计算 很 少 涉及 的 一 些 关键 问题 就 开始 浮现 出 来 。 例 
如 ， 通 用 软件 中 ， 任 务 执行 时 间 是 一 个 性 能 指标 ， 而 不 是 正确 性 指标 。 过 长 的 任务 执行 时 间 
并 不 会 引入 错误 ， 仅 会 导致 不 太 方便 ， 也 因此 价值 较 低 。 但 对 于 CPS 而 言 ， 任 务 执行 时 间 
可 能 对 整个 系统 的 功能 正确 性 非常 关键 。 这 是 因为 ， 相 对 于 信息 世界 ， 物 理 世 界 中 的 时 间 流 
逝 是 无 法 挽回 的 。 


O 也 译 为 信息 物理 系统 、 赛 博物 理 系 统 。 一 一 译 者 注 
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mE, CPS 中 很 多 事件 都 是 同时 发 生 的 。 物 理 进程 通常 由 这 样 一 组 同时 发 生 的 事件 所 
构成 ， 这 明显 有 别 于 顺序 化 的 软件 执行 过 程 。Abelson 等 ( 1996 ) 将 计算 机 科学 描述 为 “ 程 
序 化 认识 论 "， 认 为 这 是 关于 程序 的 知识 。 相 比较 而 言 ， 物 理 世 界 中 的 进程 很 少 是 顺序 化 的 ， 
而 是 由 诸多 并 行进 程 所 构成 。 那 么 ， 通 过 设计 影响 这 些 进 程 的 一 组 动作 来 评估 和 控制 其 动态 
特性 就 成 为 嵌入 式 系统 设计 的 首要 任务 。 所 以 ， 并 发 性 才 是 CPS MAIR, CERI AST Pr ik 
入 式 软件 中 存在 的 诸多 技术 挑战 也 都 源 自 于 桥接 和 弥合 固有 顺序 化 语义 与 并 发 性 物理 世界 的 


写作 动机 


软件 与 物理 世界 交互 的 机 制 正在 发 生 着 快速 变化 。 今 天 ， 整 个 趋势 正 朝 着 “智能 化 ” 传 
感 器 和 执行 器 (或 作 动 器 ) 的 方向 发 展 ， 这 些 组 件 搭载 了 微 处 理 器 、 网 络 接 口 以 及 可 以 远程 
访问 传感器 数据 并 激活 执行 器 的 软件 。 无 论 现在 是 被 称 作物 联网 ( IoT)、 工 业 4.0、 工 业 互 
联网 、 机 器 通信 (M2M)， 还 是 万 物 互联 、 智 慧 地 球 、 万 亿 传感器 (Trillion Sensor) 世界 、 
雾 计 算 (Fog， 类 似 于 云 计算 ， 但 更 近 于 地 面 ) 等 ， 其 发 展 前 景 实际 上 都 是 深度 连接 信息 世 
界 与 物理 世界 的 技术 。 在 物 联 网 领域 中 ， 这 些 “ 世 界 ” 之 间 的 接口 都 是 从 信息 技术 特别 是 网 
络 技术 中 获取 灵感 并 演化 而 来 。 

物 联网 接口 是 非常 方便 的 ， 但 仍然 不 适合 这 两 个 不 同 世 界 之 间 的 紧密 交互 ， 对 于 实时 控 
制 及 安全 依 关 系统 尤其 如 此 。 紧 密 交互 仍然 要 求 综合 且 复 杂 的 底层 设计 技术 。 骨 入 式 软件 设 
计 人 员 被 迫 投入 更 多 精力 来 关注 中 断 控 制 器 、 内 存 架构 、 汇 编 级 编程 (以 利用 特定 指令 或 者 
精确 地 控制 时 序 )、 设 备 驱 动 设计 、 网 络 接口 以 及 调度 策略 等 问题 ， 而 不 是 聚焦 于 具体 想 要 
实现 的 行为 。 

这 些 技 术 (无 论 顶 层 还 是 底层 ) 的 庞大 体系 及 复杂 度 促使 我 们 开设 如 何 掌握 这 些 技术 的 
导论 性 课程 。 但 是 ， 一 门 更 好 的 导论 课程 应 该 关注 如 何 对 软件 、 网 络 及 物理 进程 的 关联 动态 
特性 进行 建 模 和 设计 ， 且 该 类 课程 仅 介 绍 现今 (而 不 是 早期 ) 达成 这 一 目标 的 技术 。 本 书 就 
是 我 们 针对 该 类 课程 所 撰写 的 。 

关于 艇 入 式 系统 的 技术 资料 大 部 分 都 关注 使 计算 机 与 物理 系统 实现 交互 的 技术 集合 
(Barr and Massa, 2006; Berger, 2002; Burns and Wellings, 2001; Kamal, 2008; Noergaard, 2005; 
Parab et al., 2007; Simon, 2006; Valvano, 2007; Wolf, 2000 )。 其 他 一 些 则 关注 采用 计算 机 科 
学 技术 (如 编程 语言 、 操 作 系统 、 网 络 等 ) 来 处 理 艇 入 式 系统 技术 问题 ( Buttazzo, 2005a; 
Edwards, 2000; Pottie and Kaiser, 2005 ) 。 虽 然 目 前 这 些 实 现 技 术 对 于 设计 和 实现 嵌入 式 系统 
是 必要 的 ， 但 是 它们 并 未 构成 学 科 的 知识 核心 。 相 反 ， 甚 知识 核心 应 该 主要 定位 于 可 以 结合 
计算 与 物理 动态 特性 的 模型 和 抽象 。 

一 些 书 籍 已 经 致力 于 从 这 一 方面 进行 讨论 。 如 《Modeling Embedded Systems and SoCs: 
Concurrency and Time in Models of Computation 》( Jantsch，2003 ) 关注 计算 的 并 发 模型 ; 
《 Embedded System Design : Embedded Systems Foundations of Cyber-Physical Systems 》 
( Marwedel, 2011) 重点 阐述 软 便 件 行为 的 模型 ;《 Embedded Multiprocessors: Scheduling 
and Synchronization }( Sriram and Bhattacharyya，2009 ) 侧重 于 信号 处 理 行为 的 数据 流 模型 ， 
以 及 将 其 映射 到 可 编程 DSP 的 方法 ;《 Principles of Cyber-Physical Systems 》( Alur, 2015 ) 
则 聚焦 于 信息 物理 融合 系统 的 形式 化 建 模 、 规 格 以 及 验证 。 以 上 这 些 都 堪 称 非常 优秀 的 教 
材 ,深入 地 涵盖 了 某 个 特定 的 主题 。 并 发 模型 (如 数据 流 ) 以 及 软件 的 抽象 模型 (如 状态 图 ) 


Vill 


提供 了 一 个 比 命令 式 编程 语言 (如 C 语言 )、 中 断 与 线程 以 及 设计 者 必须 考虑 的 架构 细节 (如 
Cache) 等 更 好 的 起 点 。 然 而 ， 这 些 书 籍 并 没有 提供 一 门 导论 课程 所 要 求 的 全 部 内 容 。 其 要 
么 过 于 专业 ， 要 么 过 于 高 深 ， 或 者 是 兼 而 有 之 。 在 “关注 系统 实现 时 所 涉及 模型 及 其 关系 ” 
的 指导 思想 下 ， 本 书 主要 提供 了 一 系列 导论 性 内 容 。 

本 书 的 主题 是 关于 系统 实现 模型 及 其 关系 的 。 我 们 所 研究 的 模型 主要 涉及 动态 性 ， 即 时 
域 中 的 系统 状态 演化 。 我 们 不 讨论 表示 系统 结构 静态 信息 的 结构 模型 ， 虽 然 这 些 模 型 对 于 航 
人 式 系统 设计 亦 非常 重要 。 

基于 模型 开展 研究 具有 非常 突出 的 优势 。 模 型 可 以 具有 形式 化 的 属性 ， 因 此 ， 我 们 可 以 
给 出 关于 模型 的 断定 性 描述 。 例 如 ， 我 们 可 以 断言 一 个 模型 是 确定 性 的 ， 这 意味 着 对 于 相同 
的 输入 会 有 相同 的 输出 。 任 何 系统 的 物理 实现 都 不 可 能 有 这 样 绝 对 的 断定 。 如 果 我 们 的 模型 
是 对 物理 系统 的 良好 抽象 (这 里 的 “良好 抽象 ”是 指 其 仅仅 忽略 了 无 关 紧 要 的 方面 )， 那么， 
关于 模型 的 明确 断定 将 使 我 们 对 系统 的 物理 实现 足够 信任 。 而 这 些 信任 将 是 极其 有 价值 的 ， 
尤其 对 那些 出 现 故障 时 会 威胁 人 类 安全 的 艇 入 式 系统 更 是 如 此 。 研 究 系 统 模 型 可 以 让 我 们 了 
解 这 些 系统 在 物理 世界 中 的 行为 。 

我 们 关注 软 硬 件 与 其 运行 时 所 处 物理 环境 的 相互 影响 ， 这 就 要 求 对 软件 及 网 络 的 时 间 动 
态 性 进行 显 式 建 模 ， 以 及 明确 描述 应 用 程序 固有 的 并 发 特性 。 实 现 技术 还 未 赶 上 这 一 理想 目 
标的 事实 不 应 成 为 我 们 教授 错误 工程 方法 的 理由 。 我 们 应 该 按照 建 模 与 设计 方法 所 需要 的 内 
容 来 进行 曾 述 ， 并 且 通 过 重点 阐述 相关 原理 来 充实 这 些 内 容 。 因 此 ， 当 今 的 租 入 式 系统 技术 
不 应 像 以 上 所 引用 的 大 多 数 文献 中 那样 被 理所当然 地 呈现 为 事实 和 技巧 的 集合 ， 反 而 应 该 是 
作为 迈 向 良好 设计 实践 的 基石 。 那 么 ， 问 题 的 焦点 应 该 是 良好 的 设计 实践 是 什么 ， 以 及 当今 
技术 对 此 存在 哪些 阻碍 和 促进 。 

Stankovic 等 人 (2005 ) 支持 “ 现 有 面向 RTES (实时 嵌入 式 系统 ) 设计 的 技术 并 不 能 有 
效 地 支撑 可 靠 、 健 壮 的 能 人 式 系统 的 开发 ”这 一 观点 。 同 时 ， 他 们 提出 了 “提升 编程 抽象 级 
别 ” 的 需要 。 而 我 们 认为 ， 提 升 抽 象 级 别 仍然 是 不 够 的 ， 必 须 对 所 用 的 抽象 进行 根本 性 改 
变 。 例 如 ， 软 件 的 时 间 特 性 在 较 低层 抽象 中 完全 缺失 时 ， 就 不 可 能 将 其 引入 更 高 层 的 软件 抽 
象 之 中 。 

我 们 需要 具有 可 重复 时 间 动 态 性 的 健壮 、 可 预测 的 设计 ( Lee，2009a)， 这 就 必须 要 构 
建 可 以 恰当 反映 信息 物理 融合 系统 实际 特性 的 抽象 。 其 结果 是 ，CPS 的 设计 将 会 变 得 更 加 复 
杂 ， 涉 及 更 多 的 自 适应 控制 逻辑 、 时 域 中 的 演化 性 和 更 高 的 安全 性 与 可 靠 性 等 ， 所 有 这 些 都 
不 会 受到 当今 设计 的 脆弱 性 的 影响 一 一 小 的 变化 将 会 产生 巨大 的 影响 。 

除了 处 理 时 间 动 态 性 之 外 ，CPS 设计 总 是 面临 着 并 发 问题 的 挑战 。 由 于 软件 深 深 植 根 
于 顺序 化 抽象 ， 诸 如 中 断 与 多 任务 、 信 和 号 量 与 互 斥 等 并 发 机 制 就 显得 尤为 重要 。 为 此 ， 我 们 
在 本 书 中 致力 于 对 线程 、 消 息 传递 、 死 锁 避 免 、 竞 态 条 件 以 及 数据 确定 性 进行 重点 讨论 和 
理解 。 


本 版 说 明 


这 是 本 书 的 第 2 版。 除了 修订 一 些 错 误 、 改 进 论述 及 措辞 之 外 ， 本 版 增加 了 两 个 新 的 章 
节 。 第 7 章 介绍 了 传感器 与 执行 器 ， 其 重点 是 建 模 。 第 17 章 则 阐述 了 嵌入 式 系统 安全 与 隐 
私 的 基础 知识 。 





缺失 的 内 容 


即使 补充 了 新 的 内 容 ， 本 版 的 内 容 体系 仍然 是 不 够 完整 的 。 事 实 上 ， 在 CPS 的 背景 下 
完全 覆盖 伐 入 式 系统 的 内 容 体系 也 是 不 可 能 的 。 加 州 大 学 伯克利 分 校 的 本 科 生 艇 入 式 系统 课 
程 (课程 网 址 : http://LeeSeshia.org) 中 所 涉及 的 以 及 希望 在 本 书后 续 版 本 中 所 涵盖 的 具体 主 
题 包括 网 络 、 容 错 、 仿 真 技术 、 控 制 理 论 以 及 软 硬 件 协同 设计 等 。 


如 何 使 用 本 书 


本 书 内 容 分 为 建 模 、 设 计 与 分 析 三 个 主要 部 分 ， 如 图 1 所 示 。 这 三 个 部 分 的 内 容 相对 独 
立 ， 主 要 是 为 了 便于 同时 阅读 。 读 者 可 以 用 八 个 阶段 来 完成 本 书 的 系统 阅读 ， 如 图 1 中 的 虚 
线 所 示 。 大 多 数 阶段 都 包括 两 个 章节 ， 如 果 两 周 完成 一 个 阶段 的 话 ， 那 么 就 可 以 在 15 周 的 
学 期 内 完成 本 书 内 容 的 学 习 。 
建 模 设计 分 析 





13. 不 变量 与 时 态 
逻辑 


15. 可 达 性 分 析 
与 模型 检验 


17. 安全 性 与 隐私 性 





图 1 本 书 各 章节 间 的 强 弱 依 赖 关 系 : 黑色 箭头 线 表 示 章 节 之 间 有 强 依赖 关系 ， 灰 色 箭头 线 
表示 弱 依 赖 。 当 第 i 章 与 第 /7 章 之 间 是 弱 依 赖 关 系 时 ， 学 习 第 /7 章 时 几乎 不 需要 阅读 第 
1 章 的 内 容 ， 或 者 可 跳 过 一 些 实例 或 特定 的 分 析 技 术 


附录 中 提供 了 在 其 他 教材 中 述 及 的 、 对 阅读 本 书 相当 有 益 的 基础 知识 。 附 录 A 回顾 了 
集合 与 函数 的 符号 。 在 能 入 式 系统 学 习 中 ， 符 号 化 方法 提供 了 比 常见 方法 更 高 的 精确 度 。 附 


录 B 回顾 了 可 计算 性 与 复杂 性 理论 的 基本 结论 ， 这 有 益 于 深入 理解 系统 建 模 与 分 析 中 所 存 
在 的 诸多 挑战 。 需 要 说 明 的 是 ， 附 录 B 依赖 于 第 3 章 中 所 述 状态 机 的 形式 化 方法 ， 因 此 ， 
这 一 部 分 的 阅读 要 以 第 3 章 为 基础 。 

鉴于 近来 的 技术 进步 正在 根本 性 地 改变 着 出 版 业 ， 本 书 的 发 行 也 采用 了 非 传统 的 方式 。 
免费 的 PDF 形式 专 为 在 平板 电脑 上 阅读 而 设计 ， 读 者 可 在 网 站 http://LeeSeshia.org 下 载 该 
PDF 文件 。 其 布局 采用 了 优化 设计 ， 适 合 于 中 等 大 小 的 屏幕 ， 尤 其 是 笔记 本 电脑 以 及 iPad 
等 平板 电脑 。 而 且 ， 超 链接 及 色彩 的 广泛 使 用 将 大 大 提升 在 线 阅 读 的 体验 。 

我 们 试图 使 本 书 适应 于 电子 书 格式 ， 理 论 上 适合 在 各 种 大 小 的 屏幕 上 阅读 ， 以 充分 利用 
各 种 常用 屏幕 的 优势 。 然 而 ， 正 如 HTML 文档 一 样 ， 电 子 书 的 格式 采用 了 重 排 (reflow) 技 
术 ， 在 加 载 过 程 中 要 重新 计算 页 面 布局 。 重 排 结果 高 度 依赖 于 屏幕 大 小 ， 而 且 在 很 多 屏幕 上 
显示 得 并 不 理想 。 因 此 ， 我 们 选择 了 对 布局 进行 控制 ， 且 不 推荐 在 智能 手机 上 进行 阅读 。 

尽管 电子 阅读 非常 方便 ， 但 我 们 仍然 认为 纸 质 载体 是 有 其 实际 价值 的 ， 读 者 可 以 随手 翻 
阅 ， 也 可 以 将 其 显眼 地 放 在 书架 上 。 


读者 对 象 

本 书 主要 适合 高 年 级 本 科 生 、 低 年 级 研究 生 进 行 学 习 ， 也 适合 希望 理解 通 入 式 系 统 工 
程 原理 的 从 业 工 程 师 以 及 计算 机 科学 家 。 我 们 假定 读者 已 经 拥有 诸如 计算 机 结构 (例如 ， 应 
该 知道 ALU 是 什么 )、 计 算 机 编程 (本 书 采用 C 语言 )、 基 本 的 离散 数学 和 算法 等 基础 知识 ， 
并 且 对 信号 与 系统 有 最 基本 的 了 解 (例如 ， 采样 时 间 连 续 信号 意味 着 什么 )。 


错误 反馈 
如 果 你 发 现 本 书 中 存在 错误 或 印刷 错误 ， 或 者 对 本 书 有 任何 改进 建议 或 其 他 意见 ， 
请 发 电子 邮件 至 如 下 地 址 : 


authors@leeseshia.org 


无 论 是 电子 版 还 是 纸 质 版 ， 都 请 提供 本 书 的 版 本 信息 以 及 相应 的 页 码 。 谢 谢 ! 
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Janette Cardoso, Gage Eads, Stephen Edwards, Suhaib Fahmy, Shanna Shaye Forbes, 
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WHA CSE 522 课程 的 学 生 ， 该 课程 由 Georgios E. Fainekos 博士 讲授 )、Stavros Tripakis , 
Pravin Varaiya, Reinhard von Hanxleden, Armin Wasicek, Kevin Weekly, Maarten Wiggers, 
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节 ， 并 给 出 了 许多 有 益 的 建议 ! 感谢 本 书 首次 出 版 以 来 帮助 我 们 修改 错误 、 改 进 内 容 的 所 有 
读者 ! 特别 感谢 我 们 的 家 人 ， 特 别 是 Edward 的 家 人 Helen, Katalina 和 Rhonda， 以 及 Sanjit 
的 家 人 Amma, Appa, Ashwin, Bharathi, Shriya 和 Viraj ， 感 谢 他 们 的 耐心 和 支持 ! 


延伸 阅读 

近年 来 已 经 出 现 了 很 多 嵌入 式 系统 相关 书籍 。 这 些 书 籍 以 令 人 惊讶 的 多 元 化 方式 来 
处 理 相 关 主 题 ， 且 通常 是 论述 已 经 转 入 嵌入 式 系 统 的 、 更 为 成 熟 的 学 科 观 点 ， 如 VLSI 
设计 、 控 制 系统 、 信 号 处 理 、 机 器 人 学 、 实 时 系统 或 者 软件 工程 。 其 中 一 些 是 对 本 书 内 
容 的 有 益 补充 。 在 此 ， 我 们 将 这 些 书 籍 强烈 推荐 给 希望 拓展 理解 本 主题 相关 内 容 的 读者 。 

《 Computer Architecture: A Quantitative Approach 》( Patterson and Hennessy, 1996 ) 
一 书 虽然 没有 聚焦 于 岁入 式 处 理 器 ， 但 该 书 是 计算 机 体系 结构 的 标准 参考 书目 ， 也 是 
任何 对 嵌入 式 处 理 器 体系 结构 感 兴 趣 的 读者 的 必 读 书目 。《 Embedded Multiprocessors: 
Scheduling and Synchronization 》( Sriram and Bhattacharyya，2009 ) 侧重 于 信号 处 理应 
用 ， 如 无 线 通 信 、 数 字 媒 体 ， 并 对 数据 流 编程 方法 给 予 了 特别 全 面 的 覆盖 。《 Computers 
as Components: Principles of Embedded Computer Systems Design 》( Wolf，2000 ) 对 硬 
件 设计 技术 、 微 处 理 器 体系 结构 及 其 对 嵌入 式 软 件 设计 的 意义 进行 了 阐述 。《 Functional 
Verification of Programmable Embedded Processors : A Top-down Approach ) ( Mishra 
and Dutt, 2005) 基于 体系 结构 描述 语言 (ADL) 对 嵌入 式 体 系 结构 进行 了 介绍 。《 DSP 
Software Development Techniques for Embedded and Real-Time Systems )(Oshana, 2006 ) 
专门 对 德州 仪器 (TI) 的 DSP 处 理 器 进行 了 介绍 ， 并 概述 了 体系 结构 方法 和 汇编 级 编程 。 

从 软件 角度 ,《 Hard Real-Time Computing Systems: Predictable Scheduling Algorithms 
and Applications 》(Buttazzo,2005a) 对 实时 软件 的 调度 方法 进行 了 精彩 论述 。Liu( 2000 ) 
提出 了 一 种 用 于 处 理 偶 发 实时 事件 的 软件 技术 。《 Languages for Digital Embedded 
Systems ) ( Edwards，2000 ) 一 书 非 常 好 地 阐述 了 一 些 谋 入 式 系统 设计 中 所 使 用 的 面 
向 领域 的 高 级 编程 语言 。《 Principles of Embedded Networked Systems Design 》( Pottie 
and Kaiser, 2005) 对 嵌入 式 系统 中 的 网 络 化 技术 特别 是 无 线 网 络 进行 了 很 好 的 阔 述 。 
《 Better Embedded System Software 》(Koopman，2010 ) 一 书 论述 了 诡 入 式 软 件 的 设计 过 
程 ， 包 括 需求 管理 、 项 目 管理 、 测 试 计划 以 及 安全 计划 等 。《 Principles of Cyber-Physical 
Systems 》( Alur，2015 ) 就 信息 物理 融合 系统 的 形式 化 建 模 与 验证 提供 了 非常 好 的 、 有 
深度 的 处 理 方 法 。 

如 前 所 述 ， 并 没有 任何 一 本 书 可 以 综合 、 全 面 地 履 盖 说 入 式 系统 工程 师 可 用 的 所 有 
技术 。 读 者 可 以 在 很 多 关注 当今 设计 技术 的 书籍 中 找到 相应 的 有 用 信息 (Barr and Massa, 
2006; Berger, 2002; Burns and Wellings, 2001; Gajski et al., 2009; Kamal, 2008; Noergaard, 
2005; Parab et al., 2007; Simon, 2006; Schaumont, 2010; Vahid and Givargis, 2010 ) 。 


教师 注意 事项 
在 伯克利 ， 我 们 以 本 书 作 为 高 年 级 本 科 生 课程 “点 入 式 系统 导论 ”的 
下 网 址 可 以 获取 本 书 的 讲义 及 实验 材料 : 
http://LeeSehia.org 
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另外 ， 教 学 机 构 中 具有 资格 9 的 教师 可 以 通过 以 下 网 址 获得 解答 手册 以 及 其 他 教学 
资料 : 


http://chess.eecs.berkeley.edu/instructors/ 


或 者 ， 也 可 通过 电子 邮件 联系 作者 ， 邮 件 地 址 : authors@leeseshia.org. 





日 所 谓 资格 ， 是 指 已 经 申请 并 获得 了 CHESS 网 站 教师 工作 组 的 账号 ; CHESS 是 加 州 大 学 伯克利 分 校 混 合 与 赃 
人 式 软件 系统 中 心 (Center of Hybrid and Embedded Software Systems) 的 缩写 。 一 一 译 者 注 


推荐 阅读 


4 iih J 
hi A AEE 


(CPS) Jeger 





信息 物理 系统 应 用 与 原理 信息 物理 融合 系统 ( CPS ) 原理 





作者 : [ 印 ] 拉 杰 ， 拉 杰 库 马尔 [ 美 ] 迪奥 尼 西 奥 . 德 . ER 作者 : [X] 拉 吉 夫 … MAR RS. BaD 张 十 
Be: PETKA 李志刚 等 ISBN: 978-7-111-59810-7 定价 ，79.00 元 ISBN: 978-7-111-55904-7 定价 ，79.00 元 





信息 物理 系统 计算 基础 : 概念、 设计 方法 和 应 用 “信息 物理 融合 系统 (CPS) 设计 、 建 模 与 仿真 一 基于 Ptolemy | 平台 
作者 ，[ 德 ] 迪 特 玛 P.F SLR 作者 : [ 美 ] 爱德华 阿 什 福 德 * 李 译 者 : 吴迪 李 仁 发 
译 者 ， 张 海 涛 罗丹 琪 ISBN. 978-7-111-59145-0 定价 ，99.00 元 ISBN; 978-7—111—-55843-9 定价 ，79.00 元 


Introduction to Embedded Systems: A Cyber-Physical Systems Approach, 2E 


出 版 者 的 话 

译 者 序 

前 言 

第 1 章 绪论 1 
1.1 应 用 J 
12 启发 式 示例 .pe 4 
1.3 aa 9 ee ee 5 
1.3.1 建 模 ee 7 
1.3.2. 设计: 8 
1.3.3 ee 8 
14 小结 9 

第 一 部 分 “动态 行为 建 模 

第 2 章 连续 动态 …………… 12 
2.1 JA e 12 
22. JOPAR] ec ee rece e cece eee ee eee eee eee 15 
2.3 ”系统 特性 wi 
2.3.1 因果 系统 .ppp 17 
2.3.2 无 记忆 系统 ee 18 
2.3.3 ”线性 与 时 不 变性 18 
234 ”稳定 性 于 eee 19 
2.4 反馈 控制 … eee eee ee eee 19 
2.5 Ne eeereereereerereeteeererrrreseees 22 
习题 23 

第 3 章 离散 动态 ccc 25 
3.1 ”离散 系统 25 
3.2 ”状态 的 概念 ……… 28 
3.3 ”有限 状 态 机 和 28 
3.3.1 迁移 29 
332 响应 31 
3.3.3 更 新 函数 32 


| 目 % 





3.3.4 ARG 4h 34 

3.4 扩展 状态 机 本 35 
3.5” 非 确定 性 …… 37 
3.5.1 形式 化 模型 oeenn 38 
3.5.2 GEAZ AiR erect 39 

3.6 ITAS veer eee rere reece eee e eee 39 
3.7 小结 41 
习题 41 
第 4 章 TEA GER ccc 45 
4.1 ” 模 态 模型 …………… e eect etree etree tees 45 
4.1.1 状态 机 的 参 元 模型 ………………… 45 
4.1.2 连续 输入 ee 45 
4.1.3 IRER errereen eere 46 

4.2 混合 系统 分 类 .PP 47 
4.2.1 时 间 自 动机 47 
4.2.2 ”高 阶 动态 性 ee 49 
42.3 监督 控制 53 

4.3 Ny 56 
习题 57 
第 5 章 状态 机 组 合 ……………………… 61 
5.1 ne 22: oeereereerereerereree 62 
51.1 P4 ee 63 
5.1.2 ”平行 异步 组 合生 64 
513 共享 变量 .pp 66 
51.4 BUA reer ee eect terse sence eenes 68 
5.1.5 通用 组 会 ee 70 

5.2 ”分 层 状态 机 …… 70 
5.3 -小结 72 
习题 72 
第 6 章 并 发 计算 模型 oee 75 


6.1 模型 的 结构 …………………… 75 


XIV 


6.2 ”同步 响应 模型 … 77 
6.2.1 反馈 模型 TE anri oaeo iisas 78 
6.2.2 ”形式 非 良好 模型 与 形式 

良好 模型 ee rere ete ee erences 79 
623 HEH TRAY eriein 80 

6.3 ”数据 流 计 算 模 型 ……………… eee 81 
6.3.1 数据 流 原 理 … e cece reece es 82 
6.3.2 ”同步 数据 流 .pp 84 
6.3.3 动态 数据 流 pp 86 
6.3.4 ”结构 化 数据 流 … ee eee ee eee 87 
6.3.5 EAE PB eee cece eee ee ee eee eee ee ee eee 88 

6.4 时 间 计 算 模 型 pp 89 
6.4.1 ”时间 触发 模型 89 
6.4.2 ”离散 事件 系统 92 
6.4.3 Bt [A] RES ABR nee eee eee eee eee 93 

6.5 小结 95 

习题 95 


第 二 部 分 “众人 式 系统 设计 


第 7 章 传感器 与 执行 器 SRT TL PO 100 
7.1 传感器 与 执行 器 模型 .pp 101 
7.1.1 线性 与 仿 射 模型 101 
7.1.2 ”量程 ee 101 
7.1.3 动态 量程 pp 102 
7.1.4 ea | ORR 102 
7.1.5 嗓 声 ee 104 
7.1.6 采样 pp 105 
71.7 谐 波 失真 eon 107 
7.1.8 ce 2 rrrerrrrrerrrerrrnnnen 108 
7.2 RAME w 
7.2.1 测量 倾斜 度 与 加 速度 ………… 109 
7.2.2 ”测量 位 置 和 速度 110 
7.2.3 WEIR h eerrrerererrrerrrrsree 111 
7.2.4 测量 声音 .pp 111 
7.2.5 ”其 他 传感器 111 
7.3 ”执行 器 112 
7.3.1 a Pe: se 112 
7.3.2 ”电机 控制 cece cece cece cece cece eens 112 
Oe Wd so 115 


习题 115 
第 8 章 BARAER ee 117 
Sl AE oinei 117 
8.1.1 微 控制 器 pp 117 
8.1.2 DSP 处 理 器 .pp 119 
8.1.3 ”图形 处 理 器 ee 123 
8.2 并行 机 制 ------- ee eee eee eee eee eee 123 
8.2.1 H475 HA errereen 123 
8.2.2 流水线 125 
8.2.3 JAA H {T eree 127 
8.2.4 BIAI AER] eeren 132 
8.3 小结 132 
习题 132 
第 9 章 FERRA 134 
9.1 存储 器 技术 134 
9.1.1 RAM er 134 
9.1.2 AEB KARR ereere 135 
9.2 ”存储 器 分 级 体系 ……………………… 135 
9.2.1 存储 器 映射 136 
9.2.2 ”寄存 器 文件 enn。 137 
923 暂 存 器 与 高 速 缓存 ………………………: 138 
9.3 ”存储 器 模型 …………… ee eee eee eee eee 140 
9.3.1 存储 器 地 址 ee 140 
9.3.2 酚 人 ee 141 
9.3.3 ”存储 器 保护 单元 142 
9.3.4 BAH ADB creer eee 142 
9.3.5 C 程序 的 存储 模型 .……………… 143 
9.4 NSS 143 
习题 144 
第 10 章 输入 与 输出 ……………………… 146 
10.1 IO 硬件 146 
10.1.1 脉冲 宽度 调制 …………………… 147 
10.1.2 通用 数字 VO pp 147 
10.1.3. PFIED eee 149 
10.1.4 ”并行 接口 eee crete eee ee ee ene 151 
LOLS 总线: 15] 


10.2 并 发 世界 中 的 顺序 软件 ………… 152 


10.2.1 PTE SRG cece reece cree eee eee 152 
,A PAO 154 
10.2.3 ”中断 控制 器 155 
10.2.4 中断 建 模 ee 155 
10.3 小结 158 
习题 158 
第 11 章 多 任务 机 制 ……………………… 163 
11.1 命令 式 程序 …………………… treat 163 
11.2 线程 166 
11.2.1 创建 线程 166 
11.2.2 实现 线程 168 
11.2.3 互 斥 人 ee 169 
11.2.4 PEG cree ener eee eee eee eee eee 171 
11.2.5 ”内 看 一 致 性 模型 ……………… 172 
11.2.6 多 线程 机 制 带 来 的 问题 …… 173 
11.3 进程 与 消息 传递 ETE EEEE VEEN 174 
11.4 hy ee 177 
习题 178 
第 12 章 调度 机 制 pp 181 
12.1 AEP AEA ++ eee eee eee eee eee eres 181 
12.1.1 PER coerce eee seeeren seen ones 181 
12.1.2 ”任务 模型 182 
12.1.3 ”调度 器 比较 rene。 184 
12.1.4 调度 器 的 实现 ee 184 
12.2 单调 速率 调度 … eee ee ee ee eee 185 
12.3 ”最早 截止 期 优先 调度 …………………… 187 
12.4 调度 与 互 斥 .pp 190 
12.4.1 优先 级 翻转 pp 190 
12.4.2 优先 级 继承 协议 ……………… 191 
12.4.3 ”优先 级 天 花 板 协 议 ………………… 192 
12.5 ”多 处 理 器 调度 ……………… eee eee ee 193 
12.6 -小结 ee 195 
习题 196 
第 三 部 分 “分析 与 验证 

第 13 = 不 变量 与 时 态 逻 辑 re 200 
13.1 不 变量 ee 200 


XV 


13.2 ”线性 时 态 逻 辑 eee eee eee eee eee 201 
13.2.1 RRIA A pp 202 
13.2.2 Bete et AREA +o eee 203 
13.2.3 运用 线性 时 态 逻 辑 公 式 …… 205 

13.3 ”小结 e eeeeereerrrresererrrrresrereerens 206 

习题 207 

第 14 章 等 价 与 精 化 ………………… 209 

14.1 ”规格 模型 …… 209 

14.2 ”类 型 等 价 与 精 化 ………………………… 209 

143 ”语言 等 价 与 包含 …………………………… 211 

14.4 Sy eee 215 
14.4.1 模拟 关系 .pp 216 
14.4.2 FE XACHEA ee ee eee eee eee 217 
1A AS AREY a a 217 
14.4.4 ”模拟 关系 的 非 唯 一 性 ………… 218 
14.4.5 ”模拟 与 语言 包含 的 对 比 ……… 218 

14.5 FRAP cree ee cece eee eee etter es 219 

14.6 INA cvs ee cree ence eee eee nena eee enaee 220 

习题 rd le 221 


第 15 章 可 达 性 分 析 与 模型 检验 …224 


15.1 开放 和 封闭 系统 .pp 224 
15.2 ”可 达 性 分 析 :pp 225 
15.2.1 Gp 验证 oe oead eenes onse 225 
15.2.2 显 式 状态 模型 检验 …………… 226 
15.2.3 ”符号 化 模型 检验 …………………… 227 
15.3 ”模型 检验 中 的 抽象 corre 229 
15.4 ”模型 检验 活性 属性 ……………………… 231 
15.4.1 将 属性 作为 自动 机 ………… 232 
15.4.2 ”寻找 接受 环 路 233 
15.5 A A 235 
习题 235 
第 16 章 定量 分 析 ce 237 
16.1 美 津 的 间 顾 serene 237 
16.1.1 BRST ILA AG 站 237 
16.1.2 UAB RAT .pp 238 
16.1.3 平均 情况 分 析 :pp 238 


16.2 将 程序 表示 为 图 Cale bio wd vam N 238 


XVI 


16.2.1 ee: eeererrrrrerrsrrerrrene 239 
16.2.2 ”控制 流 图 .pp 239 
B23 REAA once sno wnanerawowassans 240 
16.3 ”执行 时 间 的 决定 因素 .………………- 241 
16.3.1 循环 边界 i i 24] 
16.3.2 ”指数 路 径 空间 243 
16.3.3 ”路径 可 行 性 243 
16.3.4 存储 器 分 级 体系 ……………………… 244 
16.4 FATE TA AP TEA vee eee eee eee 245 
16.4.1 优化 的 形式 化 表示 …………… 245 
16.4.2 WERAK eenen a 
16.4.3 基本 块 的 边界 .pp 249 
16.5 ”其 他 定量 分 析 问 题 …………………… 250 
16.51 ”内存 边界 分 析 erect eee eee 250 
16.5.2 HEF RERED A 252 
16.6 小结. 252 
Pe Wf ee 252 
第 17 章 安全 性 与 隐私 性 ………… 255 
17.1 密码 学 原 语 ………………… eee eee eee eee 256 
17.1.1 ”加密 与 解密 256 


17.1.2 ”数字 签名 与 安全 散 列 函数 …259 


17.2 ”协议 与 网 络 安全 性 …………………… 260 
17.2.1 BJAR FR we eee e eee eee eee ence ees 261 
17.2.2 ”加 密 协 议 设计 eee eee e eee e eee 262 

17.3 ”软件 安全 性 pp 263 

17.4 {RAY creer eee eee eee eee eee 265 
CREE TEAR cece creer dancers 266 
1742 FRG cece ener tees men even asin vain 268 
17.4.3 BAPE RH ereere 269 

17.5 ”高 级 主题 eee eee eee eee eee eee 270 
17.5.1 传感器 与 执行 器 安全 …………… 270 
17.5.2” 旁 路 攻击 etn。 271 

17.6 -小结 ee 272 

习题 273 

第 四 部 分 附 录 
附录 A 集合 与 函数 eee 276 
附录 B 复杂 性 与 可 计算 性 ………… 28] 
参考 文献 EE PEs bad sea NOTES TaN anes TES TEOR 292 
符号 说 明 eee 306 


| $1% 


Introduction to Embedded Systems: A Cyber-Physical Systems Approach, 2E 


a R 





信息 物理 融合 系统 (CPS) 是 对 计算 进程 与 物理 进程 进行 集成 所 形成 的 综合 系统 ， 其 行 
为 由 系统 的 信息 部 分 及 物理 部 分 共同 定义 。 瞬 人 式 计 算 机 与 网 络 监测 并 控制 物理 进程 ， 且 通 
常情 况 下 这 些 物 理 进 程 与 计算 进程 在 反馈 环 路 中 相互 影响 。CPS 主要 是 关于 物理 和 信息 的 交 
又 ， 而 并 非 简单 的 合成 ， 这 是 对 认 知 的 挑战 。 因 此 ， 独 立地 理解 物理 组 件 和 计算 组 件 远 远 不 
够 ,我 们 必须 深入 地 理解 它们 之 间 的 交互 特性 。 

ERE, 我 们 将 基于 一 些 CPS 应 用 实例 来 归纳 该 类 系统 的 工程 原理 以 及 它们 的 设计 


1.1 应 用 


可 以 说 ，CPS 应 用 具有 超越 20 世纪 信息 技术 革命 的 潜能 。 我 们 可 以 先 来 分 析 如 下 几 个 
示例 。 


GED 八 胜 手术 时 通常 要 求 先 让 心脏 停止 跳动 以 进行 手术 ， 然 后 再 恢复 心脏 的 跳 
动 。 此 类 手术 通常 都 是 非常 危险 的 ， 而 且 对 身体 有 副作用 。 一 些 研究 团队 已 经 着 手 研究 新 
的 方案 ， 以 使 得 医生 可 以 在 心脏 正常 跳动 时 执行 手术 。 这 里 有 两 个 关键 的 想法 可 以 使 其 成 
为 可 能 。 首 先是 采用 机 器 人 控制 的 手术 工具 ， 以 使 得 工具 可 以 在 心脏 跳动 中 进行 移动 操作 
(Kremen，2008 )。 由 此 ， 外 科 医 生 就 可 以 在 心脏 正常 跳动 时 对 心脏 上 的 某 个 点 施加 一 定 的 
压力 。 其 次 ， 立 体 视 频 系 统 可 以 为 外 科 医 生 呈 现 静 止 的 心脏 影像 (Rice，2008 )。 对 于 医生 
而 言 ， 心 脏 似 乎 已 经 停止 ， 但 实际 上 心脏 仍然 在 跳动 。 那 么 ， 要 实现 这 样 的 外 科 手术 系统 ， 
就 必须 对 心脏 、 工 具 及 其 计算 系统 的 软 硬 件 进行 全 面 建 模 。 这 要 求 对 软件 进行 精密 的 设计 ， 
以 保证 精确 的 定时 以 及 故障 处 理 所 需 的 安全 回 退 操作 。 同 时 ， 这 也 要 求 对 模型 与 设计 进行 详 
细 分 析 以 保证 具有 高 可 信 度 。 


UD 再 来 看 看 交通 灯 与 车 辆 协同 以 保证 高 效 交 通 流 的 城市 情景 。 想 象 一 下 ， 除 非 
在 不 同方 向 上 有 多 辆 车 同时 通过 路 口 ， 否 则 红 灯 时 并 不 必 停 车 的 场景 。 实 现 该 系统 的 一 种 方 
法 是 采用 昂贵 的 道路 设施 来 检测 道路 上 的 车 辆 ， 而 另 一 种 可 能 更 好 的 方法 则 是 让 车 辆 进行 自 
主 协作 。 车 辆 感知 位 置信 息 ， 并 互相 通信 来 协同 使 用 诸如 交叉 路 口 等 共享 道路 资源 。 当 然 ， 
保证 该 类 系统 的 可 靠 性 是 其 可 被 应 用 的 必要 条 件 ， 因 为 故障 通常 会 是 灾难 性 的 。 


GID 设想 一 架 不 会 圣 落 的 飞机 。 虽 然 杜 绝 引 起 飞机 坠毁 的 所 有 问题 是 不 可 能 的 ， 
但 是 ， 好 的 飞行 控制 系统 (简称 飞 控 系统 ) 设计 可 以 防止 某 些 问题 的 发 生 。 这 些 系 统 正 是 非 
常 好 的 信息 物理 融合 系统 示例 。 

在 传统 飞行 中 ， 飞 行 员 通过 座舱 中 的 控制 系统 和 飞机 机 村、 尾 要闻 的 机 械 与 联动 机 构 来 
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控制 飞机 。 在 采用 电 传 操纵 (fly-by-wire) 的 飞机 中 ， 飞 行 计 算 机 解 算 飞行 员 的 指令 ， 并 通 
过 网 络 将 这 些 指 令 发 送 给 机 棱 与 尾 贾 的 执行 器 。 采 用 电 传 操纵 的 飞机 较 传 统 飞机 更 轻 ， 因 此 
能 效 也 更 高 ， 而 且 这 些 飞机 也 被 证 明 有 更 高 的 可 靠 性 。 事 实 上 ， 几 乎 所 有 新 式 飞机 的 设计 中 
都 采用 了 电 传 操 纵 系 统 。 

在 电 传 操 纵 飞 机 系统 中 ， 由 于 计算 机 会 解析 并 传输 飞行 员 的 指令 ， 因 此 ， 计 算 机 也 可 以 
修改 这 些 指令 。 诸 多 现代 飞 控 系 统 可 以 在 特定 环境 下 修改 飞行 员 指 令 。 例 如 ， 空 客 的 商用 飞 
机 使 用 了 飞行 包 线 保护 (flight envelope protection) 技术 来 防止 飞机 超出 其 安全 操作 的 范围 。 
其 应 用 之 一 就 是 防止 因 飞 行 员 操 作 失 误 所 导致 的 飞行 失速 问题 。 

飞行 包 线 保护 的 概念 可 以 被 进一步 扩展 ， 以 帮助 防止 其 他 可 能 导致 飞机 失事 的 问题 出 
现 。 例 如 ， 如 果实 现 了 Lee (2001) 所 提出 的 软 墙 (soft wall) 系统 ， 该 系统 将 能 跟踪 飞机 所 
在 的 位 置 ， 进 而 防止 飞机 飞 入 诸如 群 山 、 建 筑 群 等 障碍 物 中 。 在 Lee 提出 的 方案 中 ， 当 飞机 
接近 障碍 物 的 边界 时 ， 其 飞 控 系 统 将 会 创建 一 个 虚拟 推力 ， 而 飞行 员 的 感觉 就 好 像 是 飞机 撞 
到 了 一 堵 “ 软 墙 ” ， 从 而 亿 使 飞机 离开 。 当 然 ， 要 设计 和 实现 这 样 的 一 个 系统 还 面临 着 诸多 
的 技术 与 非 技 术 挑战 。Lee (2003) 在 其 技术 备忘录 中 对 相关 问题 进行 了 讨论 。 


尽管 前 一 示例 所 提 及 的 “ 软 墙 ”系统 设想 属于 绝对 的 未 来 派 ， 但 在 汽车 安全 方面 已 经 得 
到 一 些 基 本 应 用 ， 或 者 已 经 处 于 研究 与 开发 的 高 级 阶段 。 例 如 ， 目 前 许多 汽车 都 可 以 检测 到 
因 朴 忽 所 导致 的 车 道 偏离 ， 并 警告 驾驶 员 。 我 们 再 来 看 看 自动 纠正 驾驶 员 行 为 这 一 更 具 挑 战 
性 的 问题 。 显 然 ， 这 比 只 是 警告 驾驶 员 要 困难 得 多 。 尤 其 是 ， 我 们 如 何 才 能 保证 控制 系统 仅 
在 需要 的 时 候 才 会 做 出 响应 并 接管 系统 ， 并 刚好 在 所 需要 的 范围 内 进行 干预 呢 ? 

我 们 还 可 以 非常 容易 地 想到 很 多 其 他 应 用 示例 ， 如 老年 人 辅助 系统 、 人 允许 外 科 医 生 进行 
远程 操作 的 远程 手术 系统 、 通 过 协作 使 得 电网 上 电力 平稳 的 家 电 设备 等 。 男 外 ， 我 们 也 很 容 
易 想 到 使 用 CPS 来 改进 很 多 已 有 的 系统 ， 如 机 器 人 制造 系统 、 发 电 配 电 系统 、 化 工厂 的 过 
程控 制 、 分 布 式 计算 机 游戏 、 产 品 运输 系统 ， 以 及 建筑 物 的 供暖 / 制冷 与 照明 系统 、 电 梯 等 
运送 装置 、 可 检测 自身 “健康 状况 ”的 桥梁 等 。 这 种 改进 对 于 安全 、 能 耗 以 及 社会 经 济 均 产 
生 了 巨大 的 潜在 影响 。 

上 述 很 多 示例 都 将 采用 如 图 1-1 所 示 结 构 ， 其 由 三 个 主要 部 分 组 成 。 首 先 ， 物 理 装置 是 
信息 物理 融合 系统 的 “物理 ”实体 部 分 。 这 是 系统 中 无 法 使 用 计算 机 或 数字 网 络 进行 实现 
的 部 分 ， 可 包括 机 械 组 件 、 生 物 或 化 学 过 程 以 及 操作 人 员 。 其 次 是 一 个 或 多 个 计算 平台 ， 其 
由 传感器 、 执 行 器 、 一 个 或 多 个 计算 机 以 及 一 个 或 多 个 操作 系统 (可 能 的 话 ) 所 组 成 。 第 三 
是 提供 计算 机 间 通 信 机 制 的 网 络 结构 。 计 算 平 台 和 网 络 结构 共同 构成 了 信息 物理 融合 系统 的 
“信息 ”部 分 。 

图 1-1 给 出 了 两 个 网 络 化 平台 ， 其 拥有 各 上 自 的 传感器 或 执行 器 。 执 行 句 的 动作 执行 会 通 
过 物理 装置 影响 传感器 所 提供 的 数据 。 图 中 平台 2 通过 执行 器 1 控制 物理 装置 ， 同 时 通过 传 
感 吕 2 来 测量 物理 装置 的 过 程 状态 。 标 识 为 计算 部 件 2 的 方块 中 实现 了 一 个 控制 律 ， 即 依据 
传感器 数据 来 决定 向 执行 器 发 送 什么 指令 。 这 个 环 路 被 称 为 反馈 控制 环 路 。 平 台 1 通过 传 感 
器 1 进行 附加 测量 ， 并 通过 网 络 结构 向 平台 2 发 送 消息 。 计 算 部 件 3 实现 了 一 个 辅助 的 控制 
律 ， 与 计算 部 件 2 的 控制 律 合 并 ， 并且 可 能 抢先 于 计算 部 件 2。 
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图 1-1 信息 物理 融合 系统 结构 示例 


GED 再 以 用 于 按 需 印刷 服务 的 高 速 印 刷机 为 例 。 该 设备 在 结构 上 可 能 与 图 1-1 相 
似 ， 但 集成 了 更 多 的 平台 、 传 感 器 和 执行 器 。 执 行 器 控制 将 纸张 送 入 印刷 机 的 电机 以 及 在 纸 
上 进行 油印 的 电机 。 依 据 纸张 类 型 、 温 度 和 湿度， 控制 律 中 可 以 包括 补偿 纸 面 拉 伸 的 策略 。 
图 1-1 所 示 的 网 络 化 结构 可 以 用 来 实现 快速 关机 ， 以 防止 卡 纸 时 对 设备 造成 损坏 。 这 种 快速 
关机 需要 在 整个 系统 中 进行 紧密 协调 ， 以 防止 出 现 灾难 性 后 果 。 在 高 端 仪器 设备 系统 以 及 能 
源 生 产 与 配给 等 应 用 中 也 存在 类 似 情 形 (Eidson et al., 2009 ) 。 


关于 术语 CPS 

“Cyber-Physical System”( 信 息 物 理 融 合 系 统 ，CPS) 一 词 出 现 于 2006 年 ， 由 
美国 国家 科学 基金 会 (NSF) 的 Helen Gill 率先 提出 。 我 们 可 能 会 尝试 将 CPS 与 
“Cyberspace ”9 相互 关联 起 来 ， 但 实际 上 CPS 一 词 的 根源 更 为 深远 。 更 为 确切 地 ， 通 
常 认 为 cyberspace 4 CPS 这 两 个 术语 源 于 同一 个 根 ， 即 cybernetics (控制 论 )， 而 并 非 
将 其 中 一 个 看 作 由 另 一 个 衍生 而 来 。 

“cybernetics” 一 词 由 对 控制 系统 理论 发 展 有 巨大 影响 的 美国 数学 家 Norbert Wiener 
所 提出 (Wiener 1948 ) 。 第 二 次 世界 大 战 期 间 ，Wiener 提出 了 高 射 炮 自动 瞄准 与 射击 
技术 。 尽 管 他 所 运用 的 机 制 中 并 不 包括 数字 计算 机 ， 但 其 所 运用 的 原理 类 似 于 当今 各 种 
计算 机 反馈 控制 系统 中 所 使 用 的 机 制 。Wiener 从 表示 舵手 、 管 理 者 、 飞 行 员 或 方向 舵 的 
古 希 腊 语 KvPepvytns ( kybernetes) 中 引出 了 这 个 术语 ， 隐 喻 其 适用 于 控制 系统 。Wiener 
将 他 对 控制 论 的 观点 描述 为 控制 与 通信 的 结合 。 他 的 控制 概念 深 深 植 根 于 闭环 反馈 理念 
之 中 ， 其 中 对 物理 进程 的 测量 驱动 控制 还 辑 ， 后 者 反 过 来 又 驱动 物理 进程 。 尽 管 Wiener 
并 没有 使 用 数字 计算 机 ， 但 控制 逻辑 实际 上 就 是 一 种 计算 ， 因此， 控制 论 也 就 是 物理 
进程 、 计 算 及 通信 的 融合 。Wiener 未 能 预料 到 数字 化 计算 及 网 络 的 强大 作用 。 因 此 ， 
“Cyber-Physical Systems ”这 一 术语 被 含糊 地 解释 为 网 络 空间 与 物理 进程 的 融合 ， 这 有 
助 于 强调 CPS 将 会 拥有 的 巨大 影响 力 。CPS 所 “ 援 动 ”的 信息 技术 将 远 远 超过 Wiener 
所 处 时 代 最 疯狂 的 梦想 。 








O 即 网 络 空间 ， 也 可 音译 为 “ 赛 博 空间 ”。 一 一 译 者 注 








当今 有 很 多 与 CPS 相关 的 流行 词 ， 如 物 联 网 (IoT)、 工 业 4.0、 工 业 互 联网 、 机 器 
通信 ( M2M)、 万 物 互 联 、 万 亿 传 感 器 以 及 雾 计 算 等 。 所 有 这 些 都 反映 了 一 个 技术 观点 ， 
即 我 们 的 物理 世界 与 信息 世界 深度 互联 。 我们 认为 ，CPS 这 一 术语 比 上 述 这 些 名 词 都 要 
更 为 基础 和 持久 ， 因 为 其 并 不 直接 涉及 实现 方法 (如 IoT 中 的 “互联 网 ”) 以 及 特定 的 应 
用 (如 工业 4.0 中 的 “工业 ”)， 反 而 是 把 重点 放 在 连接 信息 世界 与 物理 世界 这 一 工程 传 
统 的 基础 知识 问题 上 











1.2 启发 式 示例 


ee a 发 式 示 例 ， 目 标 是 用 这 个 例子 来 说 明 本 书 
所 涵盖 主题 广度 的 重要 性 。 该 具体 应 用 是 Claire Tomlin 及 其 同事 在 斯 坦 福 大 学 与 伯克利 大 
AOIR ART, ELEN HME ROEIEN NE RA 
( Hoffmann et al., 2004), STARMAC 是 一 个 小 型 的 四 旋翼 飞行 器 ?， 如 图 1-2 所 示 。 该 系统 的 
主要 目的 是 用 作 多 飞行 器 自主 控制 技术 的 试验 台 ， 其 目标 是 让 多 个 飞行 器 进行 任务 协作 。 





图 1-2 飞行 中 的 STARMAC 四 旋翼 飞行 器 (已 获 转载 许可 ) 


而 ， 要 使 得 这 样 一 个 系统 能 够 正常 工作 还 存在 诸多 挑战 。 首 先 ， 飞 行 器 的 控制 并 不 那 
么 容易 。 飞 行 器 的 主要 执行 器 是 四 个 旋翼 ， 其 可 以 产生 可 变 的 下 推力 。 通 过 平衡 这 些 旋 避 
的 推力 ， 飞 行 器 就 可 以 执行 起 飞 、 着 陆 甚 至 在 空中 翻转 的 动作 。 那 么 ， 如 何 来 确定 这 些 推力 
We? 这 就 需要 复杂 的 控制 算法 。 

其 次 ， 飞 行 器 的 重量 也 是 一 个 需要 重点 关注 的 因素 。 飞 行 器 重量 越 大 ， 其 所 携带 的 供电 
系统 就 越 重 ， 从 而 又 导致 飞行 器 重量 增加 。 飞 行 器 重量 越 大 ， 飞 行 时 需要 的 推力 也 越 大 ， 这 
意味 着 需要 使 用 更 大 的 、 更 高 功率 的 电机 和 旋翼 。 当 飞行 器 的 重量 足够 大 时 ， 旋 融会 变 得 非 
常 危险 ， 这 是 设计 中 必须 要 解决 的 一 个 重要 瓶颈 。 另 外 ， 即 使 是 相对 较 轻 的 飞行 器 ， 安 全 性 

一 个 相当 重要 的 问题 ， 系 统 的 设计 必须 能 够 应 对 故障 情况 。 

再 次 ， 飞 行 器 需要 在 与 环境 交互 的 场景 中 运行 。 例 如 ， 它 可 能 由 一 个 通过 遥控 操作 的 监 


O 也 称 四 轴 飞 行 器 。 一 一 译 者 注 
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视 人 员 持续 控制 。 它 也 可 能 自主 运行 ， 如 自主 起 飞 、 执 行 任务 、 返 回 和 着 陆 。 由 于 没有 监视 
人 员 的 参与 ， 自 主 操作 就 变 得 极为 复杂 和 极 具 挑 战 性 。 自 主 操作 需要 更 为 精密 的 传感器 。 飞 
行 器 需要 持续 跟踪 自己 的 位 置 ( 需 要 进行 定位 )， 感 知 障碍 物 ， 还 要 知道 地 面 的 位 置 。 在 良 
好 的 设计 中 ， 这 些 飞行 器 甚至 可 以 自主 降落 在 晃动 的 船只 甲板 上 。 飞 行 器 同样 还 要 持续 监测 
其 自身 健康 状况 ， 发 现 故障 并 对 其 进行 处 理 ， 以 减 小 损失 。 

不 难 想象 ， 诸 多 其 他 应 用 也 拥有 与 四 旋 辟 飞行 器 相似 的 问题 特性 。 四 旋 辟 飞行 顺 降 落 到 
晃动 的 甲板 上 这 一 问题 与 在 跳动 的 心脏 上 做 手术 具有 一 定 的 相似 性 (参见 示例 1.1 )， 它 们 都 
要 求 对 动态 环境 (船只 、 心 脏 ) 进行 详细 建 模 ， 并 且 要 深刻 地 理解 嵌入 式 系统 (四 旋翼 飞行 
器 、 机 器 人 ) 与 环境 间 的 动态 交互 机 制 。 

本 章 后 续 内 容 将 对 本 书 的 三 个 主要 部 分 进行 介绍 ， 采 用 四 旋 避 飞 行 器 的 例子 来 说 明 这 些 
不 同 部 分 是 如 何 支 持 该 类 系统 的 设计 的 。 


1.3， 设 计 过 程 


本 书 的 目标 是 阐明 如 何 设计 、 实 现 信息 物理 融合 系统 。 图 1-3 给 出 了 设计 过 程 的 三 个 主 
要 部 分 ， 即 建 模 、 设 计 与 分 析 。 其 中 ， 建 模 是 通过 模拟 来 加 深 对 系统 的 理解 的 过 程 。 模 型 模 
拟 了 系统 并 反映 出 系统 的 特性 。 模 型 指明 了 系统 能 做 什么 ? 。 在 前 一 节 的 示例 中 ， 设 计 即 飞 
行 器 的 结构 化 创建 ， 指 定 系统 如 何 执行 其 功能 。 分 析 是 通过 剖析 来 深入 理解 系统 的 过 程 ， 指 
定 了 系统 为 什么 这 样 运行 (或 为 什么 未 能 依照 模型 的 设计 运行 )。 





图 1-3 ”创建 谋 和 人 式 系统 需要 一 个 建 模 、 设 计 和 分 析 的 迭代 过 程 


如 图 1-3 所 示 ， 该 过 程 的 三 个 部 分 是 有 所 重合 的 ， 其 中 ,设计 过 程 在 这 三 个 部 分 中 不 断 
和 迭代。 通常 情况 下 ， 该 过 程 从 建 模 开始 ， 其 目标 是 理解 问题 并 设计 解决 策略 。 


GED 对 于 1.2 节 所 述 的 四 旋 必 飞行 器 问题 ， 我 们 可 以 从 构造 模型 开始 ， 这 些 模型 
将 用 户 的 垂直 或 横向 飞行 命令 转换 为 四 个 电机 的 推力 输出 命令 。 由 模型 可 知 ， 当 四 个 旋 细 上 
的 推力 不 同时 飞行 器 将 倾斜 或 横向 飞行 。 

该 模型 可 以 采用 诸如 第 2 章 中 所 述 的 技术 (连续 动态 )， 构 建 一 组 微分 方程 来 描述 飞行 
器 的 动力 学 特性 。 之 后 ， 可 以 采用 类 似 于 第 3 章 中 的 技术 (离散 动态 ) 来 构建 对 起 飞 、 着 陆 、 
悬 停 、 侧 飞 等 模式 进行 模型 刻画 的 状态 机 。 接 下 来 ， 基 于 第 4 章 (混合 系统 ) 中 的 技术 将 两 


O 即 功能 。 一 一 译 者 注 


种 模型 进行 混合 ， 创 建 系统 的 混合 模型 来 研究 操作 模式 的 转换 过 程 。 进 而 ， 第 5 章 (状态 机 
组 合 ) 与 第 6 章 (并 发 计算 模型 ) 中 的 技术 将 为 多 飞行 器 模型 、 飞 行 器 与 其 所 处 环境 的 交互 
模型 、 飞 行 器 内 部 组 件 之 间 的 交互 模型 等 提供 相应 的 组 合 机 制 。 


这 一 过 程 可 能 会 很 快 地 进展 到 设计 阶段 。 在 这 一 阶段 ， 我 们 开始 选择 组 件 (电机 、 电 
池 、 传 感 器 、 微 处 理 器 、 存 储 系统 、 操 作 系统 及 无 线 网 络 等 ) 并 将 其 组 合 在 一 起 。 最 初 的 系 
统 原型 可 能 会 揭示 模型 设计 中 的 缺陷 ， 从 而 导致 重新 回 到 建 模 阶 段 并 对 模型 进行 修正 。 


AE 第 一 代 STARMAC 四 旋 必 飞行 器 的 硬件 架构 如 图 1-4 所 示 。 图 的 左下 角 是 一 
组 用 于 飞行 器 定位 与 周围 障碍 物探 测 的 传感器 。 中 间 的 三 个 方 框 给 出 了 三 个 不 同 的 微 处 理 
器 。 其 中 ，Robostix 是 一 个 无 操作 系统 的 8 位 Atmel AVR 微 控制 器 ， 用 以 执行 保障 飞行 的 
底层 控制 算法 。 其 他 两 个 处 理 器 上 部 署 了 操作 系统 ， 以 执行 更 高 级 的 任务 。 这 两 个 处 理 器 都 
提供 了 飞行 器 及 地 面 控制 器 协作 使 用 的 无 线 通信 和 链 路 。 
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图 1-4 STARMAC 体系 结构 (已 获 转载 许可 ) 
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第 7 章 讨论 传感器 与 执行 器 ， 包 括 图 1-4 中 所 示 的 惯性 测量 单元 ( Inertial Measurement 
Unit, IMU) 和 测 距 仪 (Ranger)。 第 8 章 (嵌入 式 处 理 器 ) 阐述 了 处 理 器 体系 结构 ， 并 对 不 
同体 系 结构 的 特点 进行 了 比较 和 讨论 。 第 9 章 (存储 器 体系 结构 ) 介绍 了 存储 系统 的 设计 ， 
特别 强调 其 对 整个 系统 行为 的 潜在 影响 。 第 10 章 (输入 与 输出 ) 阐述 了 处 理 器 与 传感器 和 
执行 器 之 间 的 接口 机 制 。 第 11 章 (多 任务 机 制 ) 和 第 12 章 (调度 机 制 ) 关注 软件 体系 结构 ， 
特别 强调 如 何 组 织 多 实时 任务 。 

在 健全 的 设计 中 ， 在 整个 过 程 的 早期 阶段 就 要 开展 分 析 工 作 ， 包 括 对 模型 和 设计 的 分 
析 。 模 型 分 析 可 以 是 针对 安全 条 件 的 ， 如 保证 一 个 不 变量 (invariant), HEUWR KITARE 
PES HbA lm 的 范围 内 ， 则 垂直 速度 就 不 应 大 于 0.1(m/s)。 设 计 分 析 可 以 是 针对 软件 的 定时 
行为 ， 如 确定 系统 响应 紧急 关机 命令 的 时 长 。 某 些 分 析 问 题 将 同时 包含 模型 与 设计 的 细节 。 
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以 四 旋 渐 飞行 器 为 例 ， 在 网 络 连接 中 断 且 无 法 与 飞行 器 通信 时 ， 明 确 系统 将 如 何 运 行 就 非常 
重要 。 那 么 飞行 器 如 何 才能 检测 到 通信 已 经 中 断 呢 ? 这 就 需要 对 网 络 和 软件 的 精确 建 模 。 


GERD 针对 四 旋 灵 飞行 器 问题 ， 我 们 使 用 第 13 章 (不 变量 与 时 态 逻 辑 ) 的 技术 来 详 
细 说 明 飞 行 器 操作 的 关键 安全 性 需求 。 进 而 ， 我 们 采用 第 14 章 (等 价 与 精 化 ) 以 及 第 15 章 
(可 达 性 分 析 与 模型 检验 ) 中 的 技术 来 验证 软件 实现 中 所 满足 的 这 些 安全 特性 。 第 16 章 ( 定 
量 分 析 ) 中 的 技术 将 被 用 于 确定 软件 是 否 满足 实时 约束 。 最 后 ， 第 17 章 中 的 技术 被 用 于 保 
证 恶意 入 侵 无 法 控制 飞行 器 ， 并 且 飞 行 器 所 收集 到 的 任何 机 密 数据 都 不 会 泄露 给 敌手 。 


对 应 于 图 1-3 所 给 出 的 设计 过 程 ， 本 书 内 容 划 分 为 三 个 主要 部 分 ， 即 建 模 、 设 计 与 分 析 
(参见 前 言 中 的 图 1 )。 下 面 我 们 对 这 三 部 分 的 方法 进行 简要 阐述 。 


1.3.1 Æi 


建 模 是 本 书 的 第 一 部 分 ， 聚 焦 于 动态 行为 的 模型 。 首 先 在 第 2 章 中 对 物理 动态 性 建 模 这 
一 大 问题 进行 分 析 ， 特 别 是 关注 时 域 的 连续 动态 性 。 进 而 ,在 第 3 章 以 状态 机 作为 主要 的 形 
式 化 方法 来 阐述 离散 动态 性 。 第 4 章 将 连续 动态 性 与 离散 动态 性 相 结合 来 讨论 混合 系统 。 第 
5 章 主要 介 绍 状态 机 的 并 发 组 合 ， 并 强调 组 合 语义 是 设计 者 必须 掌握 的 重要 主题 。 第 6 章 概 

述 了 计算 的 并 发 模型 ,包括 如 Simulink 及 LabVIEW 等 开发 者 常用 的 设计 工具 中 所 采用 的 
模型 。 

在 本 书 的 建 模 部 分 ， 我 们 从 整体 的 视角 将 系统 简单 地 定义 为 各 个 部 分 的 组 合 。 物 理 系 统 
是 相对 于 软件 与 算法 等 概念 性 系统 或 逻辑 系统 的 一 个 实体 。 系 统 的 动态 性 是 其 在 时 域 的 演 
化 ， 主 要 指 其 状态 如 何 改 变 。 物 理 系统 的 模型 是 对 系统 某 些 方面 的 描述 ， 旨 在 深入 理解 系统 
特性 。 在 本 书 中 ， 模 型 具有 可 以 进行 系统 分 析 的 数学 特性 。 该 类 模型 可 仿真 系统 的 特性 ， 从 
而 洞察 整个 系统 。 

模型 本 身 就 是 一 个 系统 。 那 么 ， 避 免 混 消 模 型 及 其 所 建 模 的 系统 就 非常 重要 了 ， 它 们 
是 两 个 不 同 的 对 象 。 如 果 系 统 模型 准确 地 刻画 了 系统 的 特性 ， 就 认为 这 个 系统 具有 高 逼真 
度 ? 。 如 果 模 型 忽略 了 细节 ， 就 认为 其 是 抽象 的 。 不 可 避免 地 ， 物 理 系统 模型 的 确 会 忽略 一 
些 细节 ， 所 以 它们 常常 是 对 系统 的 抽象 。 本 书 的 一 个 主要 目标 是 理解 如 何 使 用 模型 ， 以 及 如 
何 发 挥 它们 的 优势 并 应 对 其 劣势 。 

信息 物理 融合 系统 (CPS) 是 由 物理 子 系统 和 计算 、 网 络 组 合 而 成 的 系统 。 信 息 物 理 融 
合 系统 模型 通常 包括 这 三 个 部 分 。 通 常 ， 这 些 模 型 需要 表示 出 动态 和 静态 属性 ( 指 在 系统 运 
行 过 程 中 不 会 改变 的 属性 )。 需 要 强调 的 是 ， 信 息 物 理 融 合 系统 的 模型 并 不 需要 同时 具有 离 
散 与 连续 的 部 分 。 纯 离散 (或 纯 连续 的 ) 模型 有 可 能 使 得 所 关注 的 属性 保持 高 逼 真 度 。 

本 部 分 所 阐述 的 每 个 建 模 技 术 都 是 一 个 很 大 的 主题 ， 是 一 章 甚 至 一 本 书 都 不 能 完全 涵盖 
的 。 实 际 上 ， 该 类 模型 是 工程 、 物 理 、 化 学 及 生物 学 等 诸多 分 支 学 科 的 重点 。 本 书 的 方法 主 
要 面向 工程 师 。 我 们 假定 他 们 有 具有 动态 性 数学 建 模 的 知识 背景 (给 出 物理 学 示例 的 微 积分 课 
程 就 已 足够 )， 进 而 关注 如 何 构造 不 同 的 模型 。 这 将 构成 信息 物理 融合 系统 的 问题 核心 ， 因 
为 将 逻辑 和 概念 上 的 信息 部 分 与 以 实物 存在 的 物理 部 分 进行 联合 建 模 就 是 该 问题 的 核心 。 为 
此 ， 本 书 并 不 会 尝试 面面俱到 ， 而 是 选择 一 些 工 程 师 广泛 使 用 且 深 入 理解 的 建 模 技术 进行 讨 


日 fidelity， 也 译 为 拟 真 度 、 保 真 度 。 一 一 译 者 注 


论 ， 进 而 阐述 如 何 融合 这 些 技 术 以 形成 信息 物理 融合 的 整体 。 
1.3.2 iit 


本 书 的 第 二 部 分 采用 了 非常 不 同 的 形式 ， 呈 现 了 设计 本 身 的 异 构 性 。 本 部 分 关注 散人 式 
系统 的 设计 ， 并 重点 解释 它们 在 CPS 中 发 挥 的 作用 。 第 7 章 讨 论 传 感 需 与 执行 器 ， 重 点 介 
绍 如 何 对 它们 进行 建 模 ， 以 便 理 解 它 们 在 整个 系统 动态 性 中 的 作用 。 第 8 章 讨 论 了 处 理 器 体 
系 结构 ， 其 重点 是 最 适合 嵌入 式 系统 的 特定 属性 。 第 9 章 阐 述 了 存储 器 的 体系 结构 ， 包 括 
抽象 (如 编程 语言 中 的 存储 模型 )、 物 理 属性 (如 存储 技术 ) 以 及 体系 特性 (如 存储 器 分 级 、 
Cache、 暂 存 器 等 )， 重 点 讨论 存储 器 体系 结构 如 何 影 响 动 态 性 。 第 10 章 介 绍 软 件 世 界 与 物 
理 世 界 之 间 的 接口 ， 讨 论 软件 及 计算 机 体系 结构 中 的 输入 /输出 机 制 ， 以 及 数字 / 模拟 接口 ， 
也 包括 了 采样 机 制 。 第 11 章 介 绍 了 操作 系统 的 基础 概念 并 重点 阐述 多 任务 机 制 ， 说 明 使 用 
线程 等 机 制 的 缺陷 ， 并 期 望 读者 明白 使 用 本 书 第 一 部 分 中 的 建 模 技术 确实 是 有 益 的， 它们 
将 帮助 设计 者 构建 可 信 的 系统 设计 。 第 12 章 介绍 了 实时 调度 ， 涵 盖 了 本 领域 中 的 诸多 经 典 
结论 。 

在 设计 部 分 的 所 有 章节 中 ， 我们 特别 关注 提供 并 发 性 及 时 间 控 制 的 机 制 ， 因 为 这 些 问题 
在 信息 物理 融合 系统 的 设计 中 非常 突出 。 在 部 署 至 产品 时 ， 肉 入 式 处 理 右 通常 具有 特定 的 功 
能 。 例 如 ， 它 们 可 以 控制 汽车 引擎 或 者 测量 北极 的 冰 层 厚度 。 嵌 入 式 处 理 融 并 不 需要 执行 用 
户 自 定义 软件 的 任何 功能 。 因 此 ， 骨 入 式 处 理 器 、 存 储 架 构 、LO 机 制 以 及 操作 系统 可 以 更 
加 专用 化 。 这 将 会 带 来 非常 多 的 好 处 。 例 如 ， 它 们 的 能 耗 更 低 ， 从 而 可 以 使 用 小 容量 电池 长 
时 间 工 作 。 或 者 ， 它 们 可 能 包括 了 执行 特定 操作 的 专用 硬件 ， 而 这 些 操作 在 通用 硬件 上 的 运 
行 成 本 高 ， 如 图 像 分 析 等 。 在 设计 部 分 ， 我 们 的 目标 是 使 读者 能 够 批判 地 评估 许多 可 用 的 技 
术 产 品 。 

这 部 分 内 容 的 目标 之 一 就 是 教授 学 生 在 跨越 传统 抽象 层 (如 硬件 与 软件 、 计 算 与 物理 进 
程 等 ) 进行 思考 的 同时 来 实现 系统 。 这 样 的 跨 层 思考 在 系统 实现 中 普遍 有 价值 ， 由 于 艇 人 式 
系统 的 异 构 性 ， 其 显得 尤为 重要 。 例 如 ， 程 序 员 要 实现 由 实 值 量 表示 的 控制 算法 ， 就 必须 对 
计算 机 的 运算 机 制 (如 定点 数 运算 ) 有 扎实 的 学 习 基 础 ， 进 而 创建 出 可 靠 的 系统 实现 。 类 似 
地 ， 满 足 实时 约束 的 汽车 软件 的 开发 人 员 必 须 了 解 处 理 器 的 特性 (如 流水 线 、Cache 等 )， 这 
些 特性 将 会 影响 任务 的 执行 时 间 ， 进 而 影响 系统 的 实时 行为 。 同 样 地 ， 中 断 驱 动 软件 或 多 线 
程 软件 的 开发 者 必须 理解 底层 软 硬 件 平台 所 提供 的 原子 操作 ， 并 使 用 适当 的 同步 结构 来 确保 
所 开发 软件 的 正确 性 。 本 书 的 这 一 部 分 并 没有 对 不 同 的 实现 方法 和 平台 进行 深入 的 讨论 ， 而 
是 试图 让 读者 对 这 样 的 跨 层 机 制 有 所 了 解 ， 并 通过 练习 来 加 深 对 这 些 主题 的 理解 。 


1.3.3 ”分析 


每 一 个 系统 的 设计 都 必须 满足 一 组 特定 要 求 。 对 于 通常 用 于 安全 依 关 应 用 的 代入 式 系统 
而 言 ， 证 明 系统 满足 设计 要 求 是 非常 必要 的 。 这 些 系统 要 求 也 被 称 作 属性 ( property) 或 规 
格 (specification). Young 等 人 (1985 ) 很 好 地 描述 了 规格 的 必要 性 : 

“没有 规格 的 设计 无 法 判断 对 或 错 ， 只 可 能 是 不 可 思议 的 1” 

本 书 的 分 析 部 分 聚焦 于 属性 的 精确 规格 ,以 及 用 于 比较 规格 、 分 析 规 格 和 设计 结果 的 技 
术 。 为 了 再 次 强调 动态 性 ， 本 书 第 13 章 阐 述 了 可 以 准确 描述 系统 动态 属性 的 时 态 逻 辑 ， 且 
这 些 描述 被 视 为 模型 。 第 14 章 关注 模型 间 的 关系 : 一 个 模型 是 否 就 是 另 一 个 模型 的 抽象 ， 
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其 在 某 种 程度 上 是 否 等 价 ”具体 而 言 ， 这 一 章 以 类 型 系统 ?作为 比较 模型 静态 属性 的 一 种 方 
法 ,同时 将 语言 包含 和 模拟 关系 作为 比较 模型 动态 属性 的 方法 。 第 15 章 侧重 于 用 以 分 析 模 
型 所 呈现 动态 行为 的 技术 ,特别 强调 以 模型 检验 作为 分 析 这 些 行为 的 技术 。 第 16 章 讨 论 了 
嵌入 式 软件 定量 属性 的 分 析 ， 如 查找 程序 所 消耗 资源 的 边界 ， 尤 其 侧重 于 执行 时 间 的 分 析 ， 
以 及 对 其 他 定量 属性 (如 能 耗 、 内 存 使 用 ) 的 分 析 。 第 17 章 介 绍 了 面向 说 入 式 系统 设计 的 
安全 性 与 隐私 性 基础 知识 ， 包 括 密 码 学 原 语 、 协 议 安全 性 、 软 件 安全 性 、 安 全 信息 流 、 旁 路 
以 及 传 感 顺 安全 性 等 。 

在 当前 的 工程 实践 中 ,采用 如 英语 等 自然 语言 来 描述 系统 需求 是 非常 常见 的 方法 。 那 
么 ， 为 了 避免 自然 语言 中 固有 的 歧义 ， 准 确 地 描述 需求 就 变 得 更 加 重要 了 。 本 书 分 析 部 分 的 
目标 是 采用 不 易 出 错 的 形式 化 技术 来 替代 上 述 描述 方法 。 

重要 的 是 ,形式 化 规格 还 允许 使 用 自动 化 技术 来 形式 化 地 验证 模型 及 其 实现 。 本 书 在 分 
析 部 分 为 读者 介绍 了 形式 化 验证 的 基础 知识 ， 包 括 等 价 与 精 化 检测 以 及 可 达 性 分 析 、 模 型 检 
验 等 概念 。 在 讨论 这 些 验 证 方法 的 过 程 中 ， 我们 试图 让 验证 工具 的 使 用 者 了 解 其 面纱 底下 的 
原理 ， 从 而 让 他 们 能 从 中 获 益 更 多 。 进 而 ,通过 对 示例 的 讨论 来 支持 使 用 者 的 观点 。 例 如 ， 
如 何 使 用 模型 检验 技术 来 查找 并 发 软件 中 的 潜在 错误 ， 或 者 如 何 使 用 可 达 性 分 析 来 计算 机 器 
人 的 控制 策略 以 完成 特定 的 任务 。 


1.4 小 结 


信息 物理 融合 系统 本 质 上 是 异 构 混 合 的 。 它 结合 了 计算 、 通 信 以 及 物理 动态 性 ， 因 此 较 
同 构 系 统 更 难 建 模 、 更 难 设计 ， 也 更 难 分 析 。 本 章 概述 了 本 书 中 所 涵盖 的 系统 建 模 、 设 计 与 
分 析 的 工程 学 原理 。 


O 计算 机 科学 中 ， 类 型 系统 用 于 定义 如 何 将 编程 语言 中 的 数值 和 表达 式 归 类 为 许多 不 同 的 类 型 、 如 何 操作 这 些 
类 型 ， 以 及 这 些 类 型 如 何 互相 作用 。 译 者 注 
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动态 行为 建 模 


这 一 部 分 介绍 嵌入 式 系统 建 模 ， 主 要 强调 软件 与 物理 动态 性 的 联合 建 模 。 在 
第 2 章 ， 我 们 首先 讨论 用 于 物理 系统 动态 性 建 模 的 现 有 技术 ， 重 点 在 于 这 些 系统 
的 连续 行为 。 在 第 3 章 ， 我 们 将 讨论 离散 行为 建 模 的 相关 技术 ， 这 些 技术 可 以 更 
好 地 反映 软件 的 行为 。 在 第 4 章 ， 我 们 将 这 两 类 模型 结合 起 来 ， 并 阐述 如 何 通 过 
混合 系统 对 离散 行为 和 连续 行为 进行 联合 建 模 。 第 5 章 和 第 6 章 致力 于 调和 物理 
世界 固有 的 并 发 本 质 和 软件 内 在 顺序 化 特性 。 第 5 章 阐 述 如 何 将 一 组 顺序 化 的 状 
态 机 模型 进行 并 发 组 合 ， 并 特别 引入 了 同步 组 合 的 概念 。 第 6 章 说 明 同步 组 合 只 
是 实现 并 发 组 合 的 一 种 方式 。 
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为 了 更 好 地 研究 物理 系统 的 动态 性 ， 本 章 有 必要 对 一 些 建 模 技 术 进 行 回顾 。 我 们 从 学 习 
移动 的 机 械 部 件 开 始 〈 这 个 问题 被 称 为 经 典 力学 )。 这 些 用 于 研究 机 械 部 件 动态 性 的 技术 广 
泛 地 延伸 到 其 他 物理 系统 ， 包 括 电 路 、 化 学 过 程 与 生物 过 程 等 。 对 于 大 多 数 人 而 言 机 械 部 件 
是 最 形象 的 ， 可 以 使 我 们 的 示例 更 加 具体 。 机 械 部 件 的 运动 通常 可 以 用 微分 方程 或 者 等 价 地 
用 积分 方程 来 建 模 。 实 际 上 ， 该 类 模型 仅 对 于 “平滑 ”运动 (我 们 可 以 通过 采用 线性 、 时 间 
不 变性 和 连续 性 等 概念 来 使 得 这 一 描述 更 为 精确 ) 有 良好 的 运行 效果 。 对 于 非 平 滑 运动 ， 如 
机 械 部 件 碰撞 的 建 模 ， 可 以 采用 表示 不 同 运 行 模式 及 模式 间 存 在 突变 (概念 上 是 即时 的 ) 的 
模 态 模型 。 机 械 物体 的 碰撞 可 以 被 有 效 地 建 模 为 离散 的 瞬时 事件 。 平 滑 运动 与 该 类 离散 事件 
的 联合 建 模 被 称 为 混合 系统 建 模 ， 这 将 在 第 4 章 学 习 。 将 离散 行为 与 连续 行为 进行 结合 将 使 
我 们 向 着 信息 和 物理 进程 的 联合 建 模 更 进一步 。 

我 们 首先 从 简单 的 运动 方程 着 手 ， 该 方程 以 常 微分 方程 (ODE) 3 的 形式 提供 了 系统 的 
模型 。 然 后 说 明 如 何在 参 元 (actor) 模型 中 表示 这 些 常 微 分 方程 ， 其 中 包括 流行 建 模 语 言 
(如 NI 的 LabVIEW、MathWorks 的 Simulink 等 ) 中 的 模型 类 。 接 下 来 ， 我 们 关注 此 类 模型 
的 特性 ， 如 线性 、 时 不 变性 和 稳定 性 ， 并 考虑 在 操作 模型 时 由 这 些 特性 所 带 来 的 影响 。 我 们 
给 出 了 一 个 用 于 稳定 非 稳 系统 的 反馈 控制 系统 简单 示例 。 该 类 系统 的 控制 器 通常 利用 软件 来 
实现 ， 因 此 ， 这 样 的 系统 可 以 作为 信息 物理 融合 系统 的 一 个 典型 案例 。 总 体 上 ， 整 个 系统 的 
特性 源 于 信息 和 物理 部 分 的 相关 属性 。 


2.1 牛顿 力学 


在 本 节 ， 我 们 对 经 典 力 学 的 一 些 原理 进行 简要 的 回顾 。 这 只 是 为 了 能 够 构建 一 些 有 趣 的 
模型 ， 但 并 不 全 面 。 感 兴趣 的 读者 可 以 继续 查阅 一 些 经 典 力 学 的 文章 ， 如 Goldstein ( 1980 )、 
Landau 和 Lifshitz( 1976 )、Marion 和 Thornton ( 1995 ) 等 。 

物理 对 象 的 空间 运动 可 以 表示 为 六 自由 度 ， 如 图 2-1 所 示 。 其 中 ,三 个 代表 三 维 空间 中 
的 位 置 ， 另 外 三 个 表示 空间 中 的 方向 。 假 设 有 三 个 轴 x、y 和 zz， 其 中 ,依照 惯例 x 轴 的 绘制 
递增 向 右 , y 轴 递 增 向 上 ， 而 z 轴 指 向 页 面 外 侧 。 滚 转角 (roll) 0, 是 绕 x 轴 旋转 的 角度 ， 按 
照 惯例 ，0 弧度 表示 沿 着 2 轴 方 向 保持 水 平 ( 即 该 角度 是 相对 于 z 轴 给 出 的 )。 偏 航 角 (yaw) 
0, 是 绕 y 轴 旋转 的 角度 ， 依 惯例 ，0 弧度 表示 直接 指向 右 侧 ( 即 相对 于 x 轴 给 出 的 角度 )。 
俯仰 角 (pitch) 2. 是 绕 z 轴 的 旋转 角度 ，0 弧度 通常 代表 水 平 指向 ( 即 相 对 于 x 轴 给 出 的 
角度 )。 


日” 即 未 知 函 数 只 含有 一 个 自 变量 的 微分 方程 。 一 一 译 者 注 





图 2-1 六 自由 度 建 模 (空间 位 置 以 及 滚 转 角 、 偏 航 角 和 俯仰 角 ) 


由 此 ， 物 体 的 空间 位 置 就 被 表示 为 形 如 三: 月 一 及 的 6 个 函数 ， 其 中 定义 域 表 示 时 间 ， 
到 达 域 表示 某 个 轴 上 的 距离 或 者 与 该 轴 的 夹 角 ”。 该 类 形式 的 函数 被 称 为 时 间 连 续 信 号 
(continuous-time signal) ,常常 被 包含 在 向 量 值 函 数 x : ROR MO: ROR H, Hepx 
和 8 分别 代表 位 置 与 方向 。 

位 置 和 方向 的 改变 符合 牛顿 第 二 定律 ， 该 定律 中 力 与 加 速度 相互 关联 。 加 速度 是 位 置 的 
二 阶 导数 。 我 们 的 第 一 个 公式 即 公 式 〈2.1 )， 用 于 处 理 位 置信 息 。 其 中 ,FF 是 三 个 方向 的 力 
向 量 ，M 是 物体 的 质量 ,x 是 x 对 时 间 的 二 阶 导数 ( 即 加 速度 )。 


F(t) = MX(t) (2.1) 
速度 是 加 速度 的 积分 ， 由 以 下 方程 给 出 。 其 中 ，x(0) 是 三 个 方向 的 初始 速度 。 

Vt>0, x(t)= x(0) + [C7) dz 
基于 公式 ( 2.1 )， 该 方程 可 进一步 演化 为 如 下 形式 : 

ii 
vt>0, sO) | Fede 
位 置 是 速度 的 积分 ， 
x(t) = x(0)+ EG dr 
= x(0)+18(0)+7 | [ F@ dade 


其 中 ，x(0) 是 初始 位 置 。 基 于 这 些 方程 ， 如 果 已 知 物体 的 初始 位 置 、 初 始 速度 以 及 施加 在 物 
体 上 的 三 个 方向 上 的 作用 力 (时 间 的 函数 )， 就 可 以 确定 物体 在 任意 时 刻 的 加 速度 、 速 度 以 


© codmain， 也 译 为 上 域 、 陪 域 ， 区 别 于 值 域 (range)， 函 数 的 值 域 是 到 达 域 的 子 集 。 一 一 译 者 注 

O 相关 符号 参见 附录 A. 

© 时 间 连 续 信号 的 域 可 能 被 限定 为 防 的 一 个 连通 子 集 ， 如 及 ，( 非 负 实数 ) 或 者 [0,1] 区 间 。 到 达 域 可 以 是 任意 
集合 ， 但 在 表示 物理 量 时 实数 是 最 有 用 的 。 


及 位 置 。 
这 些 作 用 于 方向 的 运动 方程 使 用 了 转 矩 ， 即 旋转 形式 的 作用 力 。 这 又 是 一 个 作为 时 间 


函数 的 三 元 素 向 量 ， 代 表 了 作用 在 物体 上 的 净 旋 转 力 。 它 与 角速度 相关 ， 形 式 类 似 于 公式 
(2.3 Jo 


Ti) =< (1080) (2.2) 


其 中 ,7 是 三 个 轴 上 的 转 矩 向 量 ，KD 是 物体 的 转动 惯量 张 量 。 转 动 惯量 "是 一 个 3 x 3 矩阵 ， 
其 取决 于 物体 的 几何 形状 与 方向 。 直 观 地 讲 ， 它 将 物体 绕 任 一 轴 旋 转 的 磁 阻 表示 为 其 在 三 个 
轴 方 向 上 的 一 个 函数 。 例 如 ， 如 果 物 体 是 球形 的 ,那么 这 个 惯性 在 所 有 轴 上 都 是 相同 的 ， 因 
此 ， 其 将 归 约 为 一 个 常 标量 了 (或 者 等 价 地 ， 归 约 为 一 个 具有 相等 对 角 元 素 了 的 对 角 和 矩阵 TD) 
此 时 ,该 方程 将 与 公式 (2.1 ) 非常 相似 ， 如 式 (2.3 ) 所 示 。 


T(t) =16(t) (2.3) 
为 了 更 加 清晰 地 表示 这 三 个 维度 ， 我 们 还 可 以 将 式 (2.2) 表示 为 如 下 形式 : 
T(t) 1O 1,0 LA| | 和 的 
T,@)|=—||1,0 1,0 1,0) OW 
T(t) LO LO A| |0.0) 




















ZEA, TA FE FASE y RRE UEA RERA), Lt) 是 用 来 确定 绕 x 轴 
的 加 速度 与 绕 了 轴 的 转 和 矩 之 间 关 系 的 惯量 。 


旋转 速度 是 加 速度 的 积分 ， 如 下 式 所 示 。 其 中 ，6(0) 即 三 个 轴 的 初始 旋转 速度 。 
Å(t) = Å(0) + Jo dr 
就 球形 物体 而 言 ， 使 用 公式 (2.3) 可 得 以 下 方程 。 
0(1) = 0(0) +L[ren dr 
1 0 
方向 则 是 旋转 速度 的 积分 ， 可 由 以 下 方程 计算 。 其 中 ，b(0) 是 初始 方向 。 如 果 已 知 物体 
的 初始 方向 、 初 始 旋转 速度 ， 以 及 作用 在 物体 三 个 轴 上 的 转 矩 是 一 个 时 间 函 数 ， 使 用 这 些 方 
程 就 能 随时 确定 物体 的 旋转 加 速度 、 速 度 以 及 方向 。 
O) = A(0) + fo r=0(0)+10(0)+ [roaadz 
一 般 而 言 ， 就 像 我 们 对 球形 物体 进行 的 处 理 一 样 ， 可 以 通过 降低 需要 关注 的 维度 来 简化 
问题 。 这 种 简化 通常 被 称 为 模型 降 阶 ( model-order reduction )。 人 例如， 如果 该 物体 是 在 平面 
上 移动 的 车 辆 ， 那 么 可 以 不 考虑 轴 方 向 的 运动 ， 或 者 物体 的 俯仰 角 或 滚 转 角 。 
GERD 我 们 未 看 一 个 允许 降 维 的 简单 控制 问题 。 直 升 机 有 两 个 旋 血 ， 一 个 在 上 部 提 





O 也 称 惯性 矩 。 PEATE 
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供 升力 ， 一 个 在 尾部 。 如 果 没 有 尾部 的 旋翼 ， 直 升 机 的 机 体 就 会 旋转 ， 而 尾部 的 旋 要 会 抵消 
HK MH, LAGS, BREWED OR 
消 主 旋 要 产生 的 转 矩 。 这 里 认为 尾部 旋 要 的 作用 与 
直升机 的 其 他 运动 无 关 。 

图 2-2 给 出 了 直升机 的 简化 模型 。 假 设 直升机 
的 位 置 固定 在 原 地 ， 从 而 无 需 考虑 位 置 方程 。 另 外 ， 
假设 直升机 一 直 保持 垂直 ， 因 此 储 仰 角 与 滚 转角 恒 
定 为 0。 这 些 假设 并 不 像 看 起 来 那样 不 切实 际 ， 因 为 
我 们 可 以 定义 固定 于 直升机 上 的 坐标 系 。 

基于 上 述 假设 ， 转 动 惯量 就 简化 为 一 个 代表 抵 图 2-2 简化 的 直升机 模型 
消 偏 航 角 变 化 的 转 矩 的 标量 。 偏 航 角 的 变化 将 归 因 于 牛顿 第 三 定律 ， 即 作用 力 和 反作用 力 定 
律 ， 其 说 明 每 一 个 作用 力 都 有 一 个 与 之 相等 的 反作用 力 。 这 将 导致 直升机 在 与 旋 要 旋转 方向 
相反 的 方向 上 旋转 。 尾 部 旋 机 的 作用 就 是 要 抵消 这 个 转 答 ， 以 防止 直升机 机 体 发 生 旋转 。 

我 们 用 以 时 间 连 续 信和 号 下 为 输入 的 系统 对 上 述 简化 的 直升机 系统 进行 建 模 ， 刀 是 围绕 
yee (HE RRMAMKL). RPRREERRS EMRE EMR BZA, Y 
这 些 转 耸 很 好 地 平衡 时 ， 转 矩 之 和 为 0。 系统 的 输出 是 围绕 y 轴 的 角速度 加,。 降 维 之 后 ， 式 
(2.2) 可 写 为 如 下 形式 。 


EHER Ah 





(D =T D/L, 


对 方程 两 边 同时 进行 积分 ， 就 可 以 得 到 输入 为 工 的 函数 的 输出 6。 
60=6(0+ 王 [7(odr (24) 
wo 


由 这 个 例子 得 出 的 关键 认识 是 ， 如 果 我 们 选择 用 x : R> R 表示 直升机 尾部 的 绝对 空 
间 人 位置， 对 直升机 进行 建 模 ， 最 终 将 会 得 到 一 个 更 为 复杂 的 模型 。 相 应 地 ， 其 控制 系统 的 设 
计 也 将 会 困难 得 多 。 


2.2 STRE 


在 前 一 节 中 ， 一 个 物理 系统 的 模型 由 将 输入 信号 (作用 力 或 转 矩 ) 与 输出 信号 (位 置 、 
方向 、 速 度 或 旋转 速度 ) 进行 关联 的 微分 或 积分 方程 给 出 。 这 样 的 物理 系统 可 以 被 看 作 更 大 
系统 中 的 一 个 组 件 。 具 体 而 言 ， 时 间 连 续 系 统 (运行 于 时 间 连 续 信号 上 的 系统 ) 可 以 被 建 模 
为 如 下 具有 一 个 输入 端口 和 一 个 输出 端口 的 方 框 音 元， 其中， 输入 信号 x 和 输出 信号 了 分别 
是 形式 为 x : RORAY : R> RKA. 


* 

=| 
3 4 
Q 

e 


这 里 ， 定 义 域 恨 代表 时 间 ， 到 达 域 表示 特定 时 刻 的 信号 值 。 如 果 我 们 希望 明确 地 建立 
一 个 能 够 实现 并 在 特定 的 时 间 点 开始 运行 模型 的 系统 ， 那 么 定义 域 民 可 以 被 非 负 实 数 域 R, 
所 代替 。 

系统 的 模型 是 一 个 形式 如 式 (2.5 ) 的 函数 ， 其 中 让 天 R*"， 这 是 将 实数 映射 到 实数 
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的 一 组 函数 ， 就 像 上 述 的 x 和 ?一 样 9。 函 数 8 可 以 依赖 于 系统 的 参数 ， 此 时 这 些 参数 可 
以 有 选择 地 列 人 该 方 框 单元 ， 同 时 也 可 以 有 选择 地 包含 在 函数 符号 中 。 例 如 ， 如 果 有 参数 
p 和 g， 我 们 可 以 将 上 图 中 的 系统 函数 写 为 5,,, 或 者 S(p, 9)。 注 意 ， 这 两 个 符号 都 表示 式 
(2.5) 所 示 形 式 的 函数 。 如 上 这 样 的 输入 和 输出 分 别 为 一 组 函数 的 方 框 单元 被 称 为 一 个 参 元 


(actor) ©, 





S:X— Y (25) 


GIP 示例 2.1 中 所 示 直升机 的 参 元 模型 可 以 描述 为 如 下 形式 。 


Helicopter 





输入 和 输出 都 是 时 间 连 续 函 数 。 参 元 的 参数 是 初始 角速度 9.(0) URL, KIB 
数 的 定义 如 式 (2.4 )。 

参 元 模型 是 可 以 组 合 的 。 具 体 地 ， 给 定 两 个 参 元 S, 和 S,， 我 们 就 能 够 构造 如 下 所 示 的 
级 联 组 合 。 其 中 ，5S, 输出 与 ,输入 间 的 “ 连 线 ”正好 表示 了 y=x,， 或 者 更 正式 地 表示 为 
VteR, y(t)=x,(t) 。 


S, Sz 


O 直升机 的 参 元 模型 可 以 表示 为 两 个 参 元 的 级 联 组 合 ， 如 下 所 示 。 


Helicopter 









Scale Integrator 


该 组 合 中 左 侧 的 参 元 表示 了 由 常数 a 所 参数 化 的 Scale 参 元 ， 其 定义 如 式 (2.6). 
Vt e R, y(t)= ax(t) (2.6) 
更 为 简洁 地 ， 我 们 可 以 将 其 写 为 y=ax!， 这 里 比例 a 和 函数 x 的 乘积 具有 与 式 (2.6) 
相同 的 含义 。 右 侧 的 参 元 表示 了 一 个 由 初 值 参 数 化 的 积分 器 ， 定 义 为 如 下 形式 。 


WER, y,(t)=i+ | x,(r)de 
0 


wRAS HG (A a=1/1, E i= 0,(0) ,我 们 就 可 以 看 到 该 系统 表示 了 式 (24), HHRMA 
xT, HHH, MH y= Â, HARE. 


O 如 同 在 附录 A 中 所 说 明 的 ， 符 号 R (也 可 写 为 (RO R)) 表示 定义 域 和 到 达 域 都 是 及 的 所 有 函数 的 集合 。 

O 将 acteor 译 为 “ 参 元 ”以 表示 一 个 参与 活动 的 对 象 模型 或 系统 组 件 。 另 一 相关 概念 是 参与 者 模型 (Actor 
Model)， 是 由 Carl Hewitt 等 人 于 1973 年 提出 的 ， 是 一 种 并 发 运算 上 的 模型 ， 推 崇 的 哲学 是 “一 切 皆 是 参与 
者 ”。 参 与 者 是 程序 上 的 抽象 概念 ， 被 看 作 并 发 运算 的 基本 单元 。 一 一 译 者 注 


在 上 图 中 ,我 们 自 定义 了 一 组 图 标 ， 即 代表 参 元 的 方 框 。 这 些 特定 的 参 元 (比例 和 积 
参 元 ) 对 于 构建 物理 动态 模型 的 构件 是 特别 有 用 的 ， 因 此 ， 为 它们 分 配 可 识别 的 符号 就 是 有 
益 的 。 

我 们 可 以 让 参 元 有 多 个 输入 信号 和 /或 多 个 输出 信号 ， 其 表示 方法 与 如 下 有 两 个 输入 信 
号 及 一 个 输出 信号 的 参 元 示例 相似 。 


Xl 
J. 
x2 


该 形式 的 一 个 常用 构件 是 信和 号 加 法 器 ， 定 义 如 下 : 
Vt E 了 ,7(D=xi(D+xz( 人 四 
通常 ， 也 采用 如 下 自 定 义 图 标 来 表示 一 个 加 法 器 。 


x) y 


X2 


在 有 些 情 况 下 ， 要 对 其 中 的 一 个 输入 进行 减法 而 不 是 加 法 操作 ， 此 时 自 定义 图 标的 输入 
端 将 由 减法 符号 表示 ， 如 下 所 示 : 


x y 


X 


这 一 参 元 表示 了 函数 5:(R —> RY > (RR), AMFEX. 
vt E R, Yx, x E (R> R), (SQ, x) =x = x O-m (H 
请 注意 这 一 谨慎 的 符号 表示 。5S(xi, x.) 是 R 域 中 的 函数 ， 因 此 可 以 在 一 个 时 刻 t(t € R) 
对 其 进行 评估 。 
在 本 章 的 后 续 内 容 中 ， 除 非 有 必要 ， 我 们 将 不 再 对 系统 及 其 参 元 模型 进行 区 分 。 假 定 参 
元 模型 可 以 捕获 所 关注 的 系统 特性 。 这 显然 是 一 个 大 胆 的 假设 ， 因 为 一 般 而 言 ， 参 元 模型 的 
特性 只 能 对 实际 系统 进行 近似 描述 。 


2.3 ”系统 特性 


本 节 我 们 关注 参 元 及 其 组 成 的 系统 可 能 具有 的 一 些 特性 ， 包 括 因果 关系 、 无 记忆 性 、 线 
性 、 时 不 变性 以 及 稳定 性 。 


2.3.1 因果 系统 


直观 上 ， 如 果 一 个 系统 的 输出 仅 依赖 于 当前 及 过 去 的 输入 ， 那么 这 个 系统 就 是 因果 关系 
的 。 然 而 ， 要 使 这 个 概念 更 准确 则 确实 有 点 环 手 。 这 里 首先 为 “当前 及 过 去 的 输入 ”给 出 一 
个 符号 。 对 于 某 个 集合 4， 考 虑 一 个 时 间 连 续 信 号 x : 民 一 4。 用 xl,<, 表 示 一 个 被 称 为 时 
间 限 制 的 函数 ， 其 只 在 时 间 t 夺 + 时 有 定义 且 满 足 xl,<, (0 =x0。 因 此 ， 如 果 x 是 一 个 系统 
的 输入 ， 那 么 x|,<; 是 +t 时 刻 的 “当前 及 过 去 的 输入 ”。 

再 来 讨论 一 个 时 间 连 续 系统 SS: X> Y, ERA A, BLA XA 以 及 7B"。 如 果 对 于 所 
AW x,x,EXWURrER, 
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Xi <r = X lsr > Shs = S< 
那么 该 系统 就 具有 因果 关系 。 也 就 是 说 ， 如 果 两 个 可 能 的 输入 x 和 x, 直到 ( 且 包 括 ) 时 间 
z 都 相同 ， 且 直到 ( 且 包 括 ) 时 间 7 其 输出 也 都 相同 ， 那 么 该 系统 就 是 因果 的 。 到 目前 为 止 ， 
我 们 所 考虑 的 系统 都 是 因果 的 。 

如 果 对 于 所 有 的 x, x E 站 以 及 Tt E 到， 

Xy h< =X l< >È SC c= SR xe 
那么 该 系统 就 具有 严格 因果 关系 。 也 就 是 说 ， 如 果 两 个 可 能 的 输入 x, 和 x, 直到 〈 且 不 包括 ) 
时 间 zt 都 相同 ， 且 直到 ( 且 包 括 ) 时 间 7t 其 输出 也 都 相同 ， 那 么 该 系统 就 是 严格 因果 的 。 严 
格 因果 关系 系统 在 上 时 刻 的 输出 并 不 依赖 于 上 时 刻 的 输入 ， 而 是 仅 依赖 于 之 前 的 输入 。 当 然 ， 
一 个 严格 的 因果 系统 也 是 具有 因果 关系 的 。 积 分 器 参 元 具有 严格 的 因果 关系 。 加 法 器 参 元 不 
是 严格 因果 的 ， 但 它 是 因果 的 。 具 有 严格 因果 关系 的 参 元 用 于 构建 反馈 系统 。 


2.3.2 无 记忆 系统 


直观 地 ， 如 果 一 个 系统 的 输出 不 仅 依 赖 于 当前 输入 ， 还 同样 依赖 于 之 前 的 输入 (或 者 
之 后 的 输入 ， 如 果 系 统 不 是 因果 的 )， 那 么 该 系统 就 是 有 记忆 的 。 来 看 一 个 时 间 连 续 系统 8 : 
XY, TERA A, BLA XA WR 天 天。 形式 化 地 ， 如 果 存 在 一 个 函数 广 4 一 8B， 对 于 
Ah x © X Alte R, 

(S(x))(?) = fe) 
那么 该 系统 就 是 无 记忆 的 。 也 就 是 说 ，t 时 刻 的 输出 (Six) 仅 依 赖 于 上 时 刻 的 输入 x(D。 

之 前 讨论 的 积分 器 是 无 记忆 的 ， 但 加 法 器 是 有 记忆 的 。 习 题 2 表明 ， 如 果 一 个 系统 具有 

严格 因果 关系 ， 且 是 无 记忆 的 ,那么 对 于 任何 输入 ， 其 输出 都 是 恒定 的 。 


2.3.3 线性 与 时 不 变性 

线性 上 且 时 不 变 (Linear and Time Invariant, LTI) 的 系统 具有 非常 好 的 数学 特性 。 控 制 理 
论 大 都 依赖 于 这 些 特 性 。 虽 然 这 些 特性 构成 了 信号 与 系统 类 课程 的 主体 ， 且 超出 了 本 书 的 范 
上 畴 ， 但 我 们 偶尔 会 使 用 这 些 特 性 的 简化 版 本 。 因 此 ， 确 定 系 统 在 何 时 是 线性 且 时 不 变 的 就 非 
常 有 用 。 

考虑 一 个 系统 S :XX 一 7Y, 和 了 是 信号 集合 ， 若 满足 如 下 又 加 ( superposition) 特性 ， 
那么 该 系统 就 是 线性 的 。 

Yx X E XE Va,b ER, S(ax,+ bx) = aS(x,) + bS(x,) 

显然 ， 当 且 仅 当初 始 角速度 0,(0) =0 时 ， 示 例 2.1 中 定义 的 直升机 系统 是 线性 的 (参见 
习题 3 ) 。 

更 为 普遍 地 ， 当 有 上 且 仅 当 的 初 值 为 0 时， 示例 2.3 中 定义 的 积分 器 是 一 个 线性 系统 ; 比 
例 参 元 总 是 线性 的 ， 任 意 两 个 线性 参 元 的 级 联 也 是 线性 的 ， 等 等 。 我 们 可 以 将 线性 的 定义 扩 
展 到 具有 多 个 输入 或 输出 信号 的 参 元 ， 此 时 就 可 以 确定 加 法 器 也 是 线性 的 。 

为 了 定义 时 不 变性 ,我 们 首先 定义 一 个 特定 的 时 间 连 续 参 元 ， 称 之 为 延迟 。 令 D, : X > 
Y (X、7 均 为 时 间 连 续 信号) 以 式 (2.7) 来 定义 。 

yx EX E yt E R, (D, ŒN) =x(t-1) (2.7) 
这 里 ,t+ 是 延迟 参 元 的 一 个 参数 。 如 果 满 足 如 下 条 件 ， 系 统 SX — Y PEMA. 
yx E X Hyr E R,SD,(x))=D,(S(x)) 
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示例 2.1 和 式 (2.4) 中 定义 的 直升机 系统 并 不 是 时 不 变 的 。 然 而 ， 如 下 这 个 变 体 是 时 不 
变 的 ， 其 不 允许 有 初始 的 角度 旋转 。 


=> [Teds 

线性 时 不 变 系统 (LTI) 是 一 个 同时 具有 线性 和 时 不 变 特性 的 系统 。 物 理 动态 建 模 的 主 
要 目标 是 尽 可 能 选择 一 个 LTI 模型 。 如 果 一 个 合理 的 近似 可 以 生成 一 个 LTI 模 型， 这 个 近似 
就 是 有 意义 的 。 当 然 ， 确 定 一 个 近似 是 否 合理 或 者 为 合理 的 近似 找到 模型 ,通常 并 不 容易 。 
但 构建 比 所 需 模型 更 为 复杂 的 模型 却 常常 是 很 容易 的 (见习 题 4)。 


2.3.4 ”稳定 性 


如 果 对 于 所 有 有 界 的 输入 信号 ， 系 统 的 输出 信号 都 是 有 界 的 ， 那 么 就 说 这 个 系统 是 有 界 
输入 有 界 输 出 稳定 的 ( 即 BIBO 稳定 ， 或 简称 稳定 ) 。 

考虑 一 个 具有 输入 w 和 输出 u 的 时 间 连 续 系统 。 如 果 有 一 个 实数 4<co， 对 于 所 有 的 
tE RRA WO SAR, PARTAA REAA. HFA, WRAAE B<%， 
对 于 所 有 的 :1E 民 都 有 |v(D)| 三 8 成 立 ， 那么 这 个 输出 就 是 有 界 的 。 如 果 对 于 某 个 4 界 内 的 
有 界 输 入 ,输出 都 在 某 个 B 界 内 ,那么 该 系统 就 是 稳定 的 。 


UED 现在 就 很 容易 看 出 示例 2.1 中 的 直升机 系统 是 不 稳定 的 。 令 输入 为 T=u， 其 
P u ER (2.8) 定义 的 单位 阶 跃 (unit step). 
0,t<0 
ee 2 (2.8 ) 
这 意味 着 在 0 时 刻 以 前 ， 系 统 上 没有 施加 转 矩 ， 且 在 0 时 刻 开始 时 施加 了 一 个 单位 量 级 
的 转 拭 。 该 输入 无 疑 是 有 界 的 ， 其 永远 不 会 超过 一 个 单位 量 级。 但 是 ， 输 出 会 不 受 限制 地 
增长 。 实 践 中 ， 直 升 机 采用 反馈 系统 来 计算 在 尾部 旋翼 施加 多 少 转 矩 来 保持 直升机 的 机 体 平 
直 。 接 下 来 ， 我 们 学 习 如 何 实现 。 


2.4 反馈 控制 


反馈 式 系统 具有 一 组 有 向 环 路 ， 其 中 ， 参 元 的 输出 又 反问 回馈 到 其 输入 端 。 图 2-3 给 出 
了 一 个 关于 该 类 系统 的 例子 。 大 多 数控 制 系统 采用 反馈 控制 机 制 。 它 们 测量 误差 (图 2-3 中 
的 e)， 即 期 望 行为 (图 2-3 中 的 w) 和 实际 行为 (图 2-3 中 的 Â) 之 间 的 差异 ， 同 时 基于 这 
一 测量 数据 来 矫正 系统 的 行为 。 误 差 测量 是 反馈 式 的 ， 同 时 相应 的 矫正 信号 (图 2-3 中 的 T) 
对 系统 进行 补偿 以 减 小 未 来 的 误差 。 需 要 说 明 的 是 ， 矫 正信 号 通常 只 能 影响 未 来 的 误差 ， 因 
此 反馈 式 系统 一 般 都 必须 在 每 一 个 有 向 环 路 中 至 少 包含 一 个 严格 因果 关系 的 参 元 (如 图 2-3 
中 的 Helicopter) 。 
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Controller Helicopter 





图 2-3 稳定 直升机 的 比例 控制 系统 


反馈 控制 是 一 个 复杂 的 主题 ， 很 容易 占用 教材 的 大 篇 幅 内 容 及 课程 的 大 部 分 时 间 。 本 书 
只 略微 涉及 该 部 分 内 容 ， 只 要 能 够 引发 软件 与 物理 系统 间 的 交互 即 可 。 反 馈 控 制 系统 常常 是 
基于 肉 入 式 软件 实现 的 ， 整 个 系统 的 物理 动态 特性 是 软件 与 物理 动态 性 的 组 合 。 在 Lee 和 
Varaiya (2011) 的 第 12 ~ 14 章 有 更 详细 的 论述 。 


《ER 日 奈 一 下 示例 2.1 中 的 直升机 模型 ， 其 是 非 稳 定 的 。 我 们 可 以 采用 图 2-3 所 
示 的 简单 反馈 控制 系统 来 使 其 稳定 。 该 系统 的 输入 多 是 指定 了 期 望 角速度 的 时 间 连 续 系统 。 
误差 信号 e 表示 了 实际 角速度 与 期 望 角速度 之 间 的 差异 。 在 该 图 中 ， 控 制 器 用 常数 上 对 误差 
信号 进行 简单 缩放 ， 并 向 直升机 提供 一 个 控制 输入 。 根 据 图 中 反映 的 关系 ele- Â, 和 
T, (t)=Ke(t), URR (2.4)， 可 以 给 出 式 (2.9) 所 示 方 程 。 


6, (1) =8,(0)+ |T,(r)ar (2.9) 


=8,0)+ 5 (vO -0)ar (2.10) 


HE (210) 的 两 端 都 有 0,(1) ， 因 此 求解 这 一 方程 就 不 再 是 一 件 微不足道 的 事情 了 。 最 
为 容易 的 求解 方法 是 拉 普 拉 斯 变换 (参见 Lee 和 Varaiya (2011) 的 第 14 章 )。 但 对 于 这 里 
的 目标 而 言 ， 我 们 可 以 使 用 基于 微 积分 的 更 强大 的 技术 。 为 了 使 其 尽 可 能 简单 ， 假 设 对 所 有 
的 t，yw(t)=0， 也 就 是 希望 简单 地 控制 直升机 以 防止 其 发 生 旋 转 。 期 望 的 角速度 为 0。 这 种 情 
WF, A (210) 可 被 简化 为 式 (2.11 ) 所 示 形 式 。 


0,()=6,(0) -|6, (ar (211) 
yy 0 


由 微 积 分 所 学 知识 ,1 宇 0 时 如 下 等 式 关 系 成 立 ， 其 中 & 的 定义 见 式 (2.8)。 


t 
[ae™ar =e"u(t)—1 


0 


由 此 ， 我 们 可 以 推导 出 式 (2.11) 的 解 ， 如 式 (2.12 ) 所 示 。 
Å (=, (0e ult) (2.12) 
请 注意 ， 尽 管 验证 该 解 的 正确 性 很 容易 ， 但 得 出 这 个 解 并 不 那么 容易 。 针 对 这 一 问题 ， 
拉 普 拉 斯 变换 提供 了 一 个 更 好 的 方法 。 
由 式 (2.12) 可 以 看 出 ， 只 要 天 是 正 值 ， 随 着 上 + 越 来 越 大 ， 角 速度 就 接近 于 期 望 角速度 
(为 0)。 天 值 越 大 ， 则 逼近 速度 越 快 。 开 为 负 值 时， 系统 是 不 稳定 的 ， 角 速度 将 无 限 增长 。 
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上 述 示例 说 明了 一 个 比例 控制 反馈 环 路 。 之 所 以 有 如 此 称谓 ， 是 因为 控制 信号 与 误差 是 
成 比例 的 。 我 们 假设 一 个 期 望 的 零 信号 。 同 样 ， 也 可 以 相当 简单 地 假定 直升机 初始 处 于 更 
ERS (角速度 为 零 )， 进 而 为 一 个 特定 的 非 零 期 望 信号 确定 行为 ,我们 结合 如 下 示例 进行 
分 析 。 


UD 现 假定 直升机 是 初始 静止 的 ， 意 味 着 初始 角速度 为 0 ( 即 6(0) =0 )， 且 对 于 
某 个 常量 a， 期 望 信号 定义 为 w(D=ax(f)。 也 就 是 说 ， 希 望 控制 直升机 ， 使 其 以 固定 的 速度 
旋转 。 

基于 式 (24) 可 以 给 出 如 下 方程 : 


} [rodr 


yy 0 


6,(t)= 





I 


t 


二 [(wD-6(Djdz 


yw 0 





K | Kọ, 
= =A fg 
i, Jade | ,Cr)dr 


_ Kat 
了 





-5 fó oar 


yw y 0 


使 用 相同 的 ( 黑 魔法 ) 技术 推理 并 验证 该 解 ， 可 以 得 出 式 (2.13) 所 示 的 解 方程 。 
0,(1)= au(t)(1—-e *") (2.13) 


再 次 说 明 ， 只 要 天 是 正 值 ， 随 着 上越 来 越 大 ， 角 速度 就 接近 于 期 望 角速度 (为 0)。 天 值 
越 大 ， 则 带 近 速度 越 快 。 天 为 负 值 时 ， 系 统 是 不 稳定 的 ， 角 速度 将 无 限 增长 。 

需要 注意 的 是 ， 上 述 解 方程 中 的 第 一 项 恰好 是 期 望 角速度 。 第 二 项 是 误差 项 ， 称 之 为 跟 
踪 误 差 ， 在 本 例 中 其 逐渐 蜗 近 于 零 。 


由 于 我 们 并 不 能 独立 地 控制 直升机 的 净 转 和 矩 ， 因 此 以 上 示例 是 不 切合 实际 的 。 特 别 是 ， 
Mere ee T, fe EER GE ET, 与 尾部 旋翼 转 矩 了 之 和 ， 如 下 : 
VtER, T, (=T, (+T, (® 
HERR 也 取决 于 要 维持 或 达到 期 望 高 度 所 需 的 旋转 力 ， 其 完全 独立 于 直升机 的 旋转 。 因 
此 ， 实 际 上 只 需要 设计 一 个 控制 7 的 控制 系统 ， 使 直升机 在 任何 T, (或 者 更 为 准确 地 说 是 运 
行 参数 内 的 任意 7,) 时 都 稳定 。 在 下 一 个 示例 中 ， 我 们 将 学 习 如 何 调节 控制 系统 的 性 能 。 


GIR 在 图 2-4a 中 ， 我们 已 经 对 直升机 的 模型 进行 了 修改 ， 其 具有 两 个 输入 7 和 
九 ， 分 别 是 主 旋 必 和 尾部 旋 权 产 生 的 转 矩 。 现 在 ， 控 制 系统 仅 控制 政 ，7, 被 当 作 外 部 (未 控 
制 的 ) 输入 信号 。 这 个 控制 系统 的 表现 到 底 会 怎样 呢 ? 

再 次 说 明 ， 对 这 个 问题 的 全 面 处 理 超出 了 本 书 的 范围 ， 这 里 只 研究 一 个 具体 的 示例 。 假 
定 主 旋 要 上 产生 的 转 矩 由 某 个 常量 记 的 方程 给 出 : 

T,= bu(t) 

也 就 是 说 ， 在 零 时 刻 ， 主 旋 要 开始 以 恒定 速度 旋转 ， 然 后 保持 这 一 速度 。 进 一 步 假设 直 

升 机 初始 处 于 静止 状态 。 我 们 就 能 用 示例 2.6 的 结果 得 到 系统 的 行为 。 


首先 ， 我 们 将 模型 转换 为 图 2-4b 所 示 的 等 价 模型 。 这 个 转换 只 依赖 于 一 个 代数 法 则 

(乘法 分 配 律 )， 对 于 任何 实数 gl、@ 与 玉 ， 存 在 如 下 方程 式 : 
Ka,+ a,= K(a,+ a,/K) 

进而 ， 我 们 将 该 模型 转换 为 图 2-4c 所 示 的 等 价 模型 ， 这 使 用 了 加 法 交换 律 这 一 代数 法 
则 。 在 图 2-4c 中 ， 我 们 看 到 方 框 内 的 模型 部 分 与 示例 2.6 中 分 析 的 控制 系统 (如 图 2-3 所 示 ) 
完全 相同 。 为 此 ， 仍 然 可 以 采用 示例 2.6 中 的 分 析 过 程 。 假 设 期 望 的 旋转 角度 为 y(O=0, A 
么 ， 原 始 控制 系统 的 输入 就 可 表示 为 如 下 方程 : 

X(t) = W(t) +T, (Q/K = (b/K)u(t) 
由 式 (2.13 )， 可 以 得 出 如 下 解 : 


6,(t) =(b/K)yu(t)(1—-e*"”) (2.14) 

期 望 的 旋转 角度 为 0， 但 是 控制 系统 逐渐 逼近 一 个 非 零 的 旋转 角度 b/K。 通 过 增加 控制 

系统 反馈 增益 天 ， 可 以 使 得 跟踪 误差 任意 小 ， 但 使 用 这 种 控制 器 设计 ， 并 不 能 使 跟踪 误差 为 
零 。 在 习题 7 中 研究 了 另 一 种 控制 器 设计 ， 其 跟踪 误差 可 接近 于 零 。 
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图 2-4 一 组 直升机 模型 : a) 独立 转 矩 的 直升机 模型 ，b) 一 个 等 价 模型 转换 (假设 K> 0 ) ; 
c) 用 于 理解 控制 器 行为 的 进一步 的 等 价 模型 转换 
2.5 小结 


本 章 介 绍 了 两 种 描述 物理 动态 特性 的 不 同 建 模 技 术 。 第 一 种 是 常 微分 方程 ， 这 是 工程 师 
使 用 的 经 典 工具 包 ; 第 二 种 是 参 元 模型 ， 是 由 软件 建 模 和 仿真 工具 所 驱动 的 新 技术 。 这 两 种 


建 模 技 术 密 切 相 关 。 本 章 已 经 强调 了 这 些 模型 之 间 的 关系 ， 以 及 这 些 模型 与 所 建 模 系统 之 间 
的 关系 。 然 而 ， 这 些 关 系 相 当 深 奥 ， 我 们 几乎 很 少 涉及 。 我 们 的 目标 是 把 读者 的 注意 力 集中 
在 这 样 的 事实 上 ， 即 我 们 可 以 对 一 个 系统 使 用 多 个 模型 ， 而 且 这 些 模型 与 所 建 模 的 系统 是 有 
区 别 的 。 一 个 模型 的 逼真 度 (近似 于 所 建 模 系统 的 程度 ) 是 关系 到 任何 工程 计划 成 功 与 否 的 
重要 因素 。 

习题 

1. 音 又 (如 图 2-5 所 示 ) 包括 了 一 个 用 铁 锤 击 打 而 发 生 偏 移 的 金属 指 ( 称 为 音叉 的 齿 )。 发 生 偏 移 之 后 ， 

音义 就 会 振动 。 如 果 音 叉 的 此 上 没有 摩擦 力 ， 它 将 永远 振动 。 我 们 可 以 将 零 时 刻 敲 击 之 后 音 又 齿 的 

位 移 表 示 为 一 个 函数 y : R 一 民 (实数 集合 )。 如 果 我 们 假定 铁 锤 敲 击 最 初 产生 的 位 移 量 为 一 个 单位 ， 

那么 基于 物理 学 的 知识 我 们 就 能 确定 ， 对 于 所 有 的 1 E 及,， 位 移 量 满足 如 下 差分 方程 。 

HD)=—w0 y(t) 
Hp, o 是 一 个 依赖 于 音叉 齿 刚度 和 质量 的 常数 ，N(t) 表示 了 ?了 对 于 时 间 的 二 阶 导 数 。 那 么 就 容易 
证 明 ， 由 下 式 给 出 的 > 就 是 差分 方程 的 解 〈 仅 需要 它 的 二 阶 导数 )。 
Vt E R, y(t) =cos(@ ft) 

因此 ， 音 又 的 偏 移 量变 化 是 正弦 的 。 如 果 选 择 音 又 的 材料 ， 使 其 ou=2r x 440 弧度 / 秒 S ， 那 么 音叉 

将 会 产生 音阶 表 中 的 A-440 音调 。 

(a) ?(D)=cos(wo 门 是 否 是 唯一 的 解 ? 若 不 是 ， 请 给 出 其 他 解 。 

(b) 对 于 解 y(D)=cos(wo 刀 ， 初 始 位 移 是 多 少 ? 

(c) 使 用 诸如 积分 器 、 加 法 器 、 比 例 等 参 元 或 其 他 类 似 简单 参 元 来 构造 一 个 能 够 
以 了 作为 输出 的 音叉 模型 。 将 初始 位 移 作为 参数 ， 并 在 模型 图 中 进行 详细 的 位 移 
标注 。 vt 

. 请 证 明 ， 如 果 一 个 系统 $ : A — B 是 严格 因果 且 无 记忆 的 ， MACKIE 

量 。 输 出 常量 意味 着 1 时 刻 的 输出 (SCO)(D 并 不 依赖 于 to 

.本 题 主要 考查 线性 。 

(a) 请 证 明 ， 当 且 仅 当初 始 角速度 2.(0) =0 时 ， 示 例 2.1 中 定义 的 直升机 模型 
是 线性 的 。 

(b) 请 证 明 ， 任 意 两 个 线性 参 元 的 笃 加 仍然 是 线性 的 。 

(c) 扩展 线性 的 定义 ， 从 而 将 其 应 用 于 具有 两 个 输入 、 一 个 输出 信号 的 参 元 。 请 
证 明 加 法 器 参 元 是 线性 的 。 

4. 考虑 示例 2.1 中 的 直升机 ， 但 其 输入 、 输 出 的 定义 略 有 不 同 。 在 该 示例 中 ， 假 图 2-5 音 又 

设 输入 为 工 : 慌 一 玉 ， 但 输出 是 机 尾 相 对 于 主 旋 翼 轴 的 位 置 。 具 体 地 ， 令 xy 平面 是 与 主 旋 翼 轴 正 

交 的 平面 ， 同 时 令 机 尾 在 1 时 刻 的 位 置 是 元 组 (x(D), y(D)， 那 么 ， 这 个 模型 是 线性 时 不 变 的 吗 ? 其 是 

不 是 BIBO 稳定 的 ? 

.考虑 一 个 旋转 机 器 人 ， 并 可 以 控制 其 绕 固定 轴 转 动 的 角速度 。 

(a) 将 其 作为 以 角速度 6 为 输入 、 以 角度 9 为 输出 的 系统 进行 建 模 。 请 用 输入 与 输出 均 为 时 间 函 数 
的 方程 给 出 一 个 模型 设计 。 

(b) 该 模型 是 BIBO 稳定 的 吗 ? 

(c) 设计 一 个 比例 控制 器 将 机 器 人 控制 到 期 望 角度 。 也 就 是 说 ,假定 初始 角度 0(0)=0， 并 且 令 期 望 
角度 为 w(D=au(D)，2 是 单位 阶 跃 函数 。 请 找 出 实际 角度 的 时 间 函 数 ， 以 及 比例 控制 器 的 反馈 增 
益 K。 在 三 0 时 刻 ， 所 设计 控制 器 的 输出 是 什么 ?》 随 着 上 的 增加 ， 它 将 逼近 于 什么 ? 


N 
He |S 
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wn 
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6. EL Wht HEL AIL 7 Ae Ae a Sy HL PP FD DEC TS TE RO EALE ee LP A 
SFE FE A He BL EE HI EF ES EE (针对 旋转 运动 的 形式 ) 可 以 给 
出 式 (2.15 ) RAE, P, kr EBER R iA) 是 上 时 刻 的 电流 大 小 ，x(D) 是 上 时 刻 负 载 施 
加 的 转 矩 ，Z 是 电机 的 惯性 矩 ，w(D 是 电机 的 角速度 。 


ki-i- eit) (2.15) 
dt 


(a) 假设 一 开始 电机 是 静止 的 ， 请 将 式 (2.15) 重 写 为 一 个 积分 方程 。 

(b) 假设 x 和 i 都 是 输入 ，ow 是 输出 ， 请 构造 一 个 对 该 电机 建 模 的 参 元 模型 (框图 )。 请 仅 使 用 诸如 
积分 器 的 原子 参 元 以 及 诸如 比例 和 加 法 器 的 基本 算术 参 元 。 

(c) 实际 中 ， 直 流 电 机 的 输入 并 非 电 流 ， 而 是 电压 。 若 假定 电机 线圈 的 电感 可 以 忽略 ， 此 时 电压 
与 电流 的 关系 可 由 下 式 给 出 。 其 中 ，R 是 电机 线圈 中 的 电阻 ，k, 是 一 个 常数 ， 被 称 为 电机 的 反 
电动 势 常数 。 第 二 项 的 出 现 是 因为 电机 转动 的 同时 会 产生 感应 电流 ， 所 产生 的 电压 与 角速度 成 
JEL. 

v(t) = Ri(t) + k, w(t) 
请 修改 所 设计 的 参 元 模型 ， 使 其 输入 为 v 和 x， 而 不 是 i 和 x。 

7.(a) 请 使 用 你 所 常用 的 时 间 连 续 建 模 工具 (如 LabVIEW, Simulink 或 者 Ptolemy I) 来 构建 一 个 如 图 
2-4 所 示 的 直升机 控制 系统 模型 。 选 择 一 组 合理 的 参数 并 画 出 作为 时 间 函 数 的 实际 角速度 曲线 ， 
此 处 假设 期 望 角速度 为 0， 即 w(D=0， 而 且 主 旋翼 的 转 矩 不 为 0， 即 也 (D=bu(D)。 画 出 不 同 天 值 
时 的 曲线 ， 并 讨论 其 行为 随 K 值 的 变化 如 何 改变 。 

(b) 修改 本 题 (a) 中 的 模型 ， 采用 图 2-6 中 的 可 选 控制 器 来 替代 图 2-4 中 的 控制 器 (由 天 调节 的 简 
单 参 元 )。 这 个 可 选 的 控制 器 是 一 个 比例 积分 ( P1) 控制 器 ， 具 有 两 个 参数 K 与 K,。 利 用 这 些 
参数 进行 实验 ， 给 出 与 (a) 中 有 相同 输入 的 控制 器 行为 曲线 ， 并 结合 (a) 中 的 行为 对 本 控制 器 
的 行为 进行 讨论 。 
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图 2-6 直升机 的 PI 控制 器 
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嵌入 式 系统 模型 包括 离散 组 件 和 连续 组 件 。 简 单 地 说 ， 连 续 组 件 是 平滑 地 演进 ， 而 离散 
组 件 则 是 突变 式 演进 。 前 一 章 讨 论 了 连续 组 件 ， 并 说 明 系 统 的 物理 动态 性 通常 可 以 被 建 模 
为 常 微分 或 积分 方程 ， 或 者 建 模 为 可 等 效 反映 这 些 方程 的 参 元 模型 。 另 一 方面 ， 常 微分 方程 
(ODE) 并 不 能 方便 地 对 离散 组 件 进 行 建 模 。 在 本 章 ， 我 们 研究 如 何 使 用 状态 机 来 建立 离散 
动态 模型 。 下 一 章 将 介绍 如 何 把 这 些 状态 机 与 连续 动态 模型 进行 组 合 ， 进 而 构造 出 混合 系统 
模型 。 


3.1 离散 系统 


一 个 离散 系统 以 一 系列 离散 的 步骤 运行 ， 就 说 其 具有 离散 动态 性 (discrete dynamics). 
有 些 系统 在 本 质 上 就 是 离散 的 。 


GED 未 看 一 个 统计 和 进入、 离开 停车 场 车 辆 数量 的 系统 ， 其 可 以 在 任何 时 间 监 测 停 
车 场 中 的 车 辆 数量 。 该 系统 可 以 被 建 模 为 如 图 3-1 所 示 的 模型 ， 这 里 忽略 检测 汽车 驶 入 和 驶 
离 的 传感器 设计 。 简 单 地 假设 有 车 辆 到 达 时 ArrivalDetector 参 元 生成 一 个 事件 ， 而 当 有 车 辆 
驶 离 时 DepartureDetector 参 元 会 产生 一 个 事件 。 计 数 器 参 元 从 一 个 初始 值 了 开始 持续 计数 ， 
其 计数 值 的 每 次 改变 都 将 产生 一 个 更 新 显示 数据 的 输出 事件 。 


ArrivalIDetector 





图 3-1 停车 场 车 辆 数量 统计 系统 模型 


在 上 例 中 ， 车 辆 的 每 一 次 驶 人 或 驶 离 都 被 建 模 为 一 个 离散 事件 ( discrete event)。 这 样 
的 一 个 离散 事件 不 是 随 着 时 间 持 续 ， 而 是 在 一 个 瞬间 出 现 的 。 图 3-1 中 的 计数 器 参 元 与 上 一 
章 所 用 的 积分 器 参 元 类 似 ， 如 图 3-2 所 示 。 类 似 于 计数 器 参 元 ， 积 分 器 参 元 对 输入 值 进行 累 
加 ,但 是 以 完全 不 同 的 方式 实现 。 积 分 器 的 输入 是 一 个 x : RRR : R,>R IBA 
函数 ， 即 一 个 时 间 连 续 信号 。 另 一 方面 ， 进 入 计数 器 参 元 up 输入 端口 的 信号 wx 是 如 下 形式 
的 函数 。 
x : R—> {absent, present} 


这 意味 着 在 任何 时 间 +t ER, 输入 x(D 要 么 不 存在 (absent)， 即 该 时 刻 没 有 事件 ; BA 





存在 (present)， 即 存在 事件 。 该 类 形式 的 信号 被 称 为 纯 信 号 (pure signal)。 这 样 的 信号 不 携 
带 任何 数值 ， 而 是 在 任何 给 定时 刻 以 存在 或 不 存在 的 表述 来 提供 所 有 信息 。 图 3-1 中 的 信和 号 
d 也 是 一 个 纯 信 号 。 


积分 器 


x y 
fi 


图 3-2 上 一 章 中 使 用 的 积分 器 参 元 图 标 


假设 计数 需 的 运行 过 程 如 下 : 当 一 个 事件 出 现在 wp 输入 端口 时 ， 计 数 器 递增 count 的 
计数 值 ， 并 在 输出 端口 产生 新 的 计数 值 ; 当 一 个 事件 出 现在 down 输入 端口 时 ， 其 计数 值 递 
减 ， 并 在 输出 端口 产生 新 的 计数 值 ?。 在 其 他 任何 时 刻 ( 即 两 个 输入 端 都 没有 事件 时 )， 该 参 
元 不 产生 任何 输出 ( 即 count 不 输出 )。 由 此 ， 图 3-1 中 的 信号 c 可 以 被 建 模 为 如 下 形式 的 函 
数 (符号 定义 参见 附录 A): 

c : R> {absent} UZ 

c 不 是 一 个 纯 信和 号， 但 类 似 于 和 4， 它 要 么 存在 要 么 不 存在 。 与 4 和 4 不同 的 是 ， 它 
有 一 个 整数 值 。 

进一步 假设 输入 在 大 多 数 时 间 是 不 存在 的 ， 或 者 更 为 专业 地 说 ， 这 些 输入 是 离散 的 ( 参 
见 “ 延 伸 探 讨 : 离散 信号 ”)。 计 数 器 依次 对 输入 序列 中 的 每 一 个 事件 进行 响应 ， 这 与 积分 
器 参 元 有 很 多 不 同 ， 后 者 对 连续 输入 中 的 一 系列 输入 进行 连续 响应 。 

计数 器 的 输入 是 一 对 离散 信和 号， 这 些 信号 在 某 些 时 刻 会 携带 一 个 事件 (present), mite 
其 他 时 刻 则 没有 事件 (absent)。 该 参 元 的 输出 也 是 一 个 离散 信号 ， 当 有 输入 时 其 值 为 一 个 自 
然 数 ， 在 其 他 时 刻 不 存 在 2。 显 然 ， 计 数 器 仅 在 有 输入 时 才 会 进行 操作 ， 当 不 存在 输入 时 其 
不 需要 进行 任何 处 理 。 因 此 ， 计 数 器 参 元 就 具有 离散 动态 性 。 

离散 系统 的 动态 性 可 以 描述 为 称 为 响应 (reaction) 的 一 系列 步 又， 且 假 设 每 一 个 响应 都 
是 瞬时 的 。 离 散 系统 的 响应 由 其 所 处 的 运行 环境 触发 。 在 如 图 3-1 所 示 的 例子 中 ， 当 一 个 或 
多 个 输入 事件 到 来 时 ， 计 数 器 参 元 的 响应 就 会 被 触发 。 也 就 是 说 ， 这 个 例子 中 的 响应 是 事件 
触发 的 。 当 计数 器 参 元 的 两 个 输入 都 不 存在 时 ， 就 不 会 有 响应 。 

一 个 特定 的 响应 将 根据 上 时 刻 的 一 组 输入 值 计 算出 该 时 刻 的 输出 值 。 假 设 一 个 参 元 具 
有 输入 端口 P={p1…, py}， 其 中 p; 是 第 i 个 输入 端口 的 标识 。 又 假设 对 于 每 一 个 输入 端口 
P E P, 一 个 集合 记 表 示 输 入 存在 时 端口 p 上 接收 的 数值 ， 其 中 VV 被 称 为 端口 p 的 类 型 。 
在 一 个 响应 中 ， 我 们 将 每 一 个 p © P 当 作 一 个 取 值 在 p E V, U {absent} 域 的 变量 。 一 组 输 
入 的 估 值 ( valuation) 是 为 每 一 个 变量 PE PA v, 中 的 一 个 值 ， 或 者 是 一 个 断定 : p 不 
存在 。 

如 果 端 口 己 接 收 到 一 个 纯 信号 ， 那 么 就 有 ={present} ， 这 是 一 个 单元 素 集 ( 即 只 有 一 
个 元 素 的 集合 )。 只 要 信号 存在 ， 其 唯一 可 能 的 取 值 就 是 present。 因 此 ， 在 一 个 响应 中 ， 变 
E p 的 取 值 将 会 是 集合 {present,absent} 中 的 一 个 。 


O 一 个 更 为 合理 的 方式 是 为 系统 设计 一 个 可 以 处 理 count 小 于 零 的 合理 的 错误 处 理 机 制 ， 但 我 们 暂时 忽略 这 个 
问题 。 

O 如 习题 8 所 示 ， 实 际 情况 是 输入 信号 是 离散 的 并 不 一 定 表 示 输 出 信号 也 会 是 离散 的 。 然 而 ， 本 应 用 中 汽车 到 
达 和 离开 的 速度 具有 物理 限制 ， 从 而 确保 这 些 信 号 是 离散 的 。 因 此 ， 可 以 安全 地 假设 它们 是 离散 的 。 
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示例 3.2 对 于 停车 场 计 数 系统 ， 输 入 端口 的 集合 是 P={up, down}。 这 两 个 端口 分 别 
接收 纯 信 号 ， 类 型 为 所 =sw={Presentj。 如 果 一 辆 车 在 上 时 刻 到 来 且 没 有 车 辆 离开 ， 那 么 
在 该 响应 中 ，up=present 且 down=absent。 如 果 一 辆 车 到 达 时 男 一 辆 车 正在 离开 ， 则 会 有 
up=down=present。 如 果 既 没有 车 辆 到 达 也 没有 车 辆 离开 ， 则 两 个 端口 的 值 都 是 absent 。 


也 可 以 对 输出 进行 类 似 指 定 。 考 虑 一 个 离散 系统 ， 其 具有 类 型 为 VY oo, Va 的 输出 端 
O 0={q1, …, qv}。 在 每 一 个 响应 中 ， 系 统 给 每 一 个 9 © 0 分 配 一 个 值 g E V, U {absent}, 
并 且 输 出 这 些 估 值 。 在 本 章 ， 我们 假定 在 没有 响应 的 时 刻 :， 其 输出 均 为 absent， 由 此 ， 离 
散 系统 的 输出 就 是 离散 信号 。 第 4 章 会 介绍 一 些 输出 不 会 被 限制 为 离散 化 的 系统 (也 可 参见 
“摩尔 和 米利 型 状态 机 ”) 。 


TF 图 3-1 中 计数 器 参 元 有 一 个 命名 为 count 的 输出 端口 ， 由 此 ，QO={count}， 其 
类 型 为 Von Zs E- NHR, count 被 赋值 为 停车 场 中 的 车 辆 数量 。 


延伸 探讨 : 离散 信号 
离散 信号 由 时 域 中 的 瞬时 事件 序列 构成 ， 这 里 我 们 将 更 加 精确 地 讨论 这 个 直观 的 概 


考虑 一 个 形式 为 e: R— {absent} U 了 针 的 信号 ， HP, 卫 是 任意 值 的 集合 。 直 观 上 ， 
如 果 一 个 信号 大 多 数 时 间 都 不 存在 且 可 以 顺序 地 统计 其 出 现 的 次 数 ， 那 么 该 信号 就 是 离 
散 信和 号。 每 当 其 存在 时 ， 就 得 到 一 个 离散 事件 。 

同时 ， 顺序 统 计 事 件 的 能 力 是 非常 重要 的 。 例 如 ， 若 对 所 有 有 理 数 1，e 都 存在 ， 那 
么 就 不 能 称 该 信号 是 离散 的 ， 因 为 并 不 能 顺序 地 统计 该 信号 出 现 的 次 数 。 直 观 地 讲 ， 其 
并 不 是 时 间 上 的 一 个 瞬时 事件 序列 (而 是 时 间 上 的 瞬时 事件 集合 )。 

为 了 形式 化 地 定义 ， 令 TE 民 是 e 为 存在 的 时 间 的 集合 ， 形 式 如 下 。 

T={t E R : e(t) ¥ absent} 

如 果 存 在 一 个 保证 顺序 性 ( 即 保 序 性 ，order preserving) 的 单 射 函 数 三 : TON, e 
就 是 离散 的 。 保 序 性 可 以 简单 地 理解 为 ， 对 于 所 有 的 t1 ET 与 tf €E 7T,， 若 有 ti 三， 就 
BA Mh) 硅 ftis)。 这 一 单 射 函 数 的 存在 确保 了 可 以 以 时 间 顺 序 对 事件 进行 计数 。 习 题 8 
中 讨论 了 关于 离散 信号 的 一 些 特性 。 


延伸 探讨 : 将 参 元 建 模 为 函数 
如 2.2 节 一 样 ， 图 3-2 中 的 积分 器 可 以 被 建 模 为 如 下 形式 的 函数 。 
Į t RR 
其 模型 可 以 进一步 被 改写 为 另 一 种 形式 (符号 定义 参见 附录 A): 
I, : (R,—R)— (R,— RR) 
在 图 3-2 F, y= (x), i 是 积分 的 初 值 ,x 和) 是 时 间 连 续 信 号 。 例 如 ， 如 果 i=0， 
且 对 于 所 有 1 E R, x()=1, MA 


yD)=i+ |x(r)dr =? 
0 





类 似 地 ， 图 3-1 中 的 计数 器 可 以 被 建 模 为 如 下 形式 的 函数 。 
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C: (R, 一 {absent, present} — (IR, > {absent} U Z) 
其 中 , 也 是 整数 ， 已 是 输入 端口 的 集合 且 P={up, down}。A* 表 示 从 B 到 4 的 所 有 


函数 的 集合 ， 因 此 函数 C 的 输入 是 一 个 定义 域 为 PP 的 函数 ， 对 于 每 一 个 端口 p E P,， 在 
(R, — {absent, present}) 有 一 个 函数 。 反 之 ， 对 于 每 一 个 时 刻 1 € 及 ,， 后 一 个 函数 返回 
absent 或 present, 





3.2 ”状态 的 概念 


显然 ， 系 统 的 状态 (state) 是 其 在 一 个 特定 时 间 点 上 所 具有 的 情形 。 通 常 而 言 ， 状 态 会 
影响 到 系统 对 输入 的 响应 。 形 式 上 ， 我 们 将 状态 定义 为 关于 影响 系统 对 现在 或 未 来 输入 进行 
响应 的 已 过 去 一 切 的 编码 。 状 态 就 是 对 过 去 的 总 结 。 

如 图 3-2 所 示 的 积分 器 参 元 。 该 参 元 具有 这 样 的 状态 ， 即 其 在 任意 时 刻 上 恰好 具有 与 输 
出 相同 的 值 。 该 参 元 在 时 刻 上 的 状态 是 对 直至 时 刻 上 的 输入 信号 的 积分 。 为 了 了 解 子 系统 将 
会 对 1 时 刻 及 之 后 的 输入 如 何 响应 ， 就 必须 了 解 :时 刻 的 值 是 多 少 ， 而 无 需 了 解 之 前 输入 的 
任何 情况 ， 它 们 对 未 来 的 影响 完全 由 {时 刻 的 当前 值 获知 。 图 3-2 的 图 标 中 包括 了 一 个 初始 
状态 值 i， 这 对 于 从 某 个 起 始 时 间 开 始 运 行 而 言 是 需要 的 。 

积分 器 参 元 运行 于 连续 的 时 间 区 间 ， 对 一 个 时 间 连 续 输入 信号 进行 积分 ， 每 次 产生 的 输 
出 是 输入 曲线 的 累积 面积 与 初始 状态 的 和 ， 即 该 参 元 在 任意 给 定时 间 的 状态 是 累积 面积 加 上 
初始 状态 。 前 一 节 中 的 计算 器 参 元 也 有 状态 ， 其 状态 也 是 一 个 过 去 输入 值 的 累积 ， 但 它 的 运 
行 是 离散 的 。 

积分 器 参 元 在 1 时 刻 的 状态 y(t) 是 一 个 实数 ， 由 此 就 说 积分 器 的 状态 空间 ( State Space) 
States=R. Fl 3-1 中 使 用 的 计算 器 参 元 在 上 时 刻 的 状态 s(?) 是 一 个 整数 ， 由 此 States=Z。 实 
际 中 停车 场 提供 有 限 非 负 数 M 个 停车 位 ， 因 此 计算 器 参 元 的 状态 空间 将 具有 如 下 形式 (这 
里 假设 停车 场 不 允许 进入 超过 停车 位 数量 的 车 辆 ): 

States = {0, 1, 2, =, M} 

积分 器 参 元 的 状态 空间 是 无 限 的 (实际 上 是 无 限 不 可 数 的 )， 而 停车 场 计 数 器 的 状态 空 
间 则 是 有 限 的 。 有 限 状 态 空间 的 离散 模型 被 称 为 有 限 状态 机 。 有 很 多 强大 的 分 析 技 术 可 用 于 
这 些 模型 ， 我 们 将 在 之 后 对 其 进行 讨论 。 


3.3 有 限 状 态 机 


状态 机 (State Machine) 是 离散 动态 系统 的 模型 ， 每 ”监督 条 件 动 作 
一 个 响应 将 一 组 输入 估 值 映射 到 一 组 输出 估 值 ， 且 该 映 
射 可 能 依赖 于 它 的 当前 状态 。 有 限 状态 机 ( Finite-State 
Machine，FSM) 即 具有 有 限 大 小 的 可 能 状态 集合 States 的 初始 状态 指示 器 
状态 机 。 

如 果 状 态 数 比 较 少 ， 那 么 就 可 以 使 用 如 图 3-3 所 示 的 。 ”图 3-3 一 个 有 限 状态 机 的 可 视 
图 形 化 符号 方便 地 画 出 这 些 有 限 状态 机 。 这 里 每 个 状态 表 化 符号 表示 
示 为 一 个 气泡 ， 表 示 了 下 述 状 态 集合 的 有 限 状态 机 。 

States = {Statel, State2, State3} 
在 每 个 响应 序列 的 开始 ， 有 一 个 初始 状态 ， 如 图 3-3 中 悬空 箭头 指向 的 State1。 






3.3.1 迁移 


状态 间 的 迁移 (Transition) 控制 着 状态 机 的 离散 动态 性 ， 以 及 输入 估 值 到 输出 估 值 
的 映射 。 一 个 迁移 被 表示 为 从 一 个 状态 到 另 一 个 状态 的 带 箭头 曲线 ， 如 图 3-3 所 示 。 迁 移 
可 以 起 止 于 同一 个 状态 ， 如 图 3-3 中 States 到 自身 的 迁移 ， 这 种 迁移 被 称 为 自 迁移 (self 
transition ) 。 

在 图 3-3 中 ，Statel 到 State2 的 迁移 标 有 “监督 条 件 / 动作 ”。 监 督 条 件 ( guard) 决定 
在 一 个 响应 上 是 否 进行 状态 的 迁移 。 动 作 (action) 则 指定 在 每 一 个 响应 上 将 产生 什么 样 的 
输出 。 

监督 条 件 是 一 个 谓词 (布尔 值 表达 式 )， 其 值 为 true 时 应 该 进行 迁移 ， 从 该 迁移 的 起 点 
状态 迁移 到 目标 状态 。 当 一 个 监督 条 件 的 值 为 true， 就 说 明 这 个 迁移 被 激活 。 动 作 是 对 输出 
端口 的 赋值 (或 apseni)。 迁 移 中 未 涉及 的 任何 输出 端口 都 隐 式 地 为 absent, 如 果 没 有 给 出 
任何 动作 ， 那么 所 有 的 输出 都 隐 式 地 为 absent. 


GED 图 3-4 给 出 了 停车 场 计 数 系统 的 有 限 状 态 机 模型 。 输 入 和 输出 标示 为 符号 
name : type, REŽ States = {0, 1, 2, =, M}。 从 状态 0 到 状态 1 的 迁移 有 一 个 监督 条 件 ， 
iA “up 人 一 down”, 这 是 一 个 在 up 为 存在 且 down 为 不 存在 时 估 值 为 真 的 谓词 。 如 果 在 
一 个 响应 中 ， 当前 状态 为 0 且 该 监督 条 件 的 值 为 真 ， 那 么 执行 迁移 且 下 一 个 状态 为 状态 1。 
另外 ， 该 动作 表明 输出 应 该 被 赋值 1。 输出 端口 count 并 没有 被 显 式 地 命名 ， 这 是 因为 只 有 
一 个 输出 端口 ， 因 此 并 不 会 有 混淆 。 

如 果 状 态 0 到 状态 1 迁移 上 的 监督 条 件 简 单 地 为 wp， 那么 ， 当 down 存在 时 该 表达 式 的 
值 可 能 仍然 为 真 。 也 就 是 说 ， 当 有 车 辆 到 来 且 同 时 有 车 辆 离开 时 ， 其 就 不 能 正确 地 统计 车 辆 
数量 。 


输入 : up, down : pure 
输出 : count : {0,--- ,M} 


up-down /1 upAndown /2 up-down /3 up-down / M 
© C1) 


down sup /0 down^-up/1 down^-up/2 down^-up/M-—1 


图 3-4 图 3-1 中 停车 场 计 数 器 的 FSM 模型 


如 果 p Mp 是 离散 系统 的 纯 输 入 ， 那 么 ， 以 下 示例 就 是 一 些 有 效 的 监督 条 件 。 
true 迁移 一 直 被 激活 。 


Pi X p, 存在 时 迁移 被 激活 。 

7 Pi 当 p, 不 存在 时 迁移 被 激活 。 

Pi A p X p 与 p, 都 存在 时 迁移 被 激活 。 

Pi VP 4 p, BX p, 任 一 存在 时 迁移 被 激活 。 
Pi An pr 4 p, FLA p 不 存在 时 迁移 被 激活 。 


这 些 是 标准 的 逻辑 操作 ， 其 中 存在 (present) 与 true 是 同义词 ， 而 不 存在 (absent) 
与 fase 有 相同 含义 。 符 号 ”表示 罗 辑 否定 (或 逻辑 非 )。 运 算 符 人 是 逻辑 合 取 (逻辑 与 ， 
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AND)，V 是 逻辑 析 取 (逻辑 或 ，OR ) 。 
假设 离散 系统 还 有 类 型 V =N 的 第 三 个 输入 端口 p;， 下 面 给 出 一 些 有 效 监 督 条件 的 例子 。 


m 当 p, 存在 时 迁移 被 激活 。 

pel Y p, 存在 且 值 为 1 时 迁移 被 激活 。 
pete 当 p, 值 为 1 Ap, 存在 时 迁移 被 激活 。 
pe Y p, 存在 且 值 大 于 5 时 迁移 被 激活 。 


《ER 全球 能 源 的 一 个 主要 用 途 是 采暖 ( Heating)、 通 风 (Ventilation) 和 空气 调节 
(Air Conditioning) (简写 为 HVAC )。 精 确 的 温度 动态 特性 模型 以 及 温度 控制 系统 可 以 有 效 改 
善 节能 效果 。 建 模 可 以 从 一 个 复杂 度 适 中 的 恒温 器 (thermostat) 开始 ， 其 调节 温度 并 将 温度 
保持 在 一 个 设置 点 或 者 目标 温度 。“thermostat” 一 词 来 源 于 希腊 语 中 的 “ 热 ” 呈 © 和“ 持续” 
这 两 个 词 的 组 合 。 

考虑 由 具有 状态 集 States={heating,cooling} 的 estemporanee: R 

pe ü a 8; 8 输出 : heatOn, heatOff : pure 
有 限 状 态 机 上 所 建 模 的 恒温 器 ， 如 图 3-5 所 示 ， 且 假设 


设置 点 是 20%C。 如 果 加 热 器 打开 ， 那 么 恒温 器 允许 temperature <18 / heatOn 
温度 高 过 设置 点 至 22%。 如 果 加 热 器 是 关闭 的 ， 恒 

g (heating ) 
温 器 允许 温度 降低 至 18%C。 这 个 策略 被 称 为 迟 灌 
( hysteresis, 参 W “Rit: GRR”), HA me Ae, temperature = 22 / heatOff 


了 抖动 ( chattering)， 即 : 当 温 度 接 近 于 设置 点 温度 时 图 3-5 具有 迟滞 特性 的 恒温 器 模型 
加 热 器 反复 地 快速 打开 和 关闭 。 - 

该 模型 有 一 个 类 型 为 民 的 单 输入 temperature， 以 及 两 个 纯 输 出 heatOn 4 heatOff, % 
当 加 热 器 的 状态 需要 改变 时 (例如 ， 当 其 是 打开 的 且 要 被 关闭 时 ,或 者 它 是 关闭 的 而 需要 被 
打开 时 ) 这 些 输出 为 present。 





类 似 于 停车 场 计数 器 ， 图 3-5 中 的 有 限 状 态 机 可 以 是 事件 触发 的 ， 在 这 种 情形 下 ， 只 要 
输入 temperature 它 都 将 进行 响应 。 其 也 可 以 是 时 间 触 发 (time triggered) 的 ， 这 意味 着 它 会 
以 规律 的 时 间 间 隔 响 应 。 在 这 两 种 情形 下 ， 该 有 限 状态 机 的 定义 并 未 发 生 改 变 。 这 取决 于 有 
限 状态 机 进行 响应 时 它 所 运行 的 环境 。 

在 一 个 迁移 上 ， 动 作 〈 即 斜 线 后 的 部 分 ) 确定 实施 迁移 时 将 要 在 输出 端口 上 输出 的 估 值 。 
如 果 q 和 gq, 是 纯 输 出 ， 且 q 的 类 型 为 N， 那 么 以 下 就 是 一 组 有 效 的 动作 。 


qi q 是 存在 的 且 q 和 gq; 是 不 存在 的 。 

i a q 和 gq, 是 存在 的 且 qg 是 不 存在 的 。 

qs:=1 Q 和 9 是 不 存在 的 ，93 是 存在 的 且 值 为 1。 
qa:=1,9) q EFEK, p 是 不 存在 的 ，9; 是 存在 的 且 值 为 1。 


(全 无 ) 1. 92 和 9 都 是 不 存在 的 。 
对 于 所 执行 的 迁移 中 没有 提 及 的 任何 输出 端口 ， 其 值 都 隐 含 地 为 absent。 当 给 一 个 输 
出 端口 赋值 时 ， 我 们 使 用 符号 name:=valu 来 区 别 赋值 和 写 为 name=value 形式 的 谓词 。 如 图 
3-4 所 示 ， 如 果 只 有 一 个 输出 ， 该 赋值 就 不 需要 使 用 端口 名 。 


© 希腊 语 thermos. 译 者 注 
© 希腊 语 statos。 一 一 译 者 注 





延伸 探讨 : 迟滞 
示例 3.5 中 的 恒温 器 呈现 了 状态 依赖 行为 的 一 个 特殊 形式 ， 即 迟滞 。 迟 滞 被 用 于 防 
止 拌 动 。 具 有 迟滞 特性 的 系统 是 有 记忆 的 ， 同 时 还 具有 另外 一 个 称 为 时 间 尺 度 不 变性 
(time-scale invariance) 的 有 用 特性 。 在 示例 3.5 中 ， 作 为 时 间 函 数 的 输入 信号 是 如 下 形 
式 的 信号 
temperature : R —> {absent} U R 
H, temperature(t) 是 1 时 刻 读 取 的 温度 值 ， 或 者 在 该 时 刻 没有 读 取 温 度 ， 其 值 为 
absent，。 作 为 时 间 的 函数 ,输出 具有 如 下 形式 。 
heatOn, heatOff : R — {absent, present} 
假如 对 于 某 些 w>0， 输 入 不 是 temperature, MR BFA H, 
temperature'(t) = temperature(a > f) 
当 a>1 时 ， 那 么 输入 随时 间 的 变化 较 快 ， 然 而 当 wa<l 时 ， 输 入 的 变化 就 会 较 慢 。 对 
于 这 两 种 情形 ， 输 入 模式 是 相同 的 。 进 而 ， 该 有 限 状 态 机 中 的 输出 heatOn' 和 heatOff' 
可 以 由 如 下 形式 给 出 。 
heatOn'(t) = heatOn(a.: t), heatOff'(t) = heatOff (a: t) 
时 间 比 例 不 变性 意味 着 在 输入 端 缩放 时 间 轴 的 比例 会 引起 输出 端 时 间 轴 比例 的 缩 
放 ， 因 此 ， 绝 对 的 时 间 尺 度 是 无 关 紧 要 的 。 
恒温 器 的 另 一 个 可 替代 实现 是 采用 一 个 单 温度 阅 值 ， 其 不 考虑 温度 ,而 是 和 要求 加 热 
器 保持 至 少 一 个 最 小 时 间 量 的 打开 或 关闭 状态 。 这 样 的 设计 效果 参见 习题 2。 


支持 有 限 状态 机 (FSM) 的 软件 工具 

有 限 状态 机 被 用 于 理论 性 的 计算 机 科学 与 软件 工程 已 有 相当 长 的 一 段 时 间 (Hopcroft 
and Ullman, 1979 )。 大 量 软 件 工具 支持 有 限 状 态 机 的 设计 与 分 析 ， 尤 其 是 层次 化 有 限 状 
态 机 的 并 发 组 合 标记 法 一 一 Statecharts ( Harel, 1987 )， 其 已 经 影响 了 诸多 其 他 工具 。 最 
先 支持 Statecharts 符号 的 工具 是 STATEMATE (Harel et al., 1990 )， 其 之 后 发 展 为 由 IBM 
销售 的 Rational Rhapsody。 近 年 来 还 陆续 出 现 了 很 多 Statecharts 的 变 体 (von der Beeck, 
1994 )， 其 中 一 些 现在 几乎 被 每 一 款 提供 UML (Unified Modeling Language， 统 一 建 模 
语言 ) 功能 (Booch et al., 1998 ) 的 软件 工程 工具 所 支持 。SyncCharts ( André, 1996 ) 是 
一 款 特别 优秀 的 版 本 ， 其 为 并 发 有 限 状 态 机 的 组 合 借鉴 了 Esterel 的 严格 语义 (Berry and 
Gonthier, 1992 )。LabVIEW 支持 Statecharts 的 一 个 变 体 ， 其 可 以 在 数据 流 图 中 操作 。 同 
时 ， 带 有 状态 流 扩 展 的 Simulink 支持 可 以 在 时 间 连 续 模 型 中 进行 操作 的 演化 版 本 。 





3.3.2 ”响应 


状态 机 的 定义 中 没有 给 出 关于 何 时 做 出 响应 的 任何 约束 ， 而 是 由 所 处 的 环境 来 决定 状态 
机 的 响应 时 机 。 第 5 章 和 第 6 章 阐述 了 与 之 相关 的 不 同 机 制 ， 并 给 出 了 如 事件 触发 、 时 间 触 
发 等 术语 的 精确 含义 。 在 本 部 分 ， 我 们 只 关心 状态 机 进行 响应 时 会 做 什么 。 

当 环境 确定 状态 机 应 该 响应 时 ， 输 入 端 将 有 一 个 估 值 。 状 态 机 将 为 输出 端口 分 配 一 个 估 
fA, FF (可 能 ) 改变 到 一 个 新 状态 。 如 果 在 当前 状态 引出 的 任何 迁移 上 都 不 存在 结果 为 true 
的 监督 条 件 ， 状 态 机 将 保持 在 当前 状态 。 
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在 一 个 响应 中 ， 所 有 的 输入 可 能 都 为 absent。 即 使 在 该 情形 下 ， 一 个 监督 条 件 的 计算 结 
果 也 可 能 为 true， 此 时 将 执行 一 个 迁移 。 如 果 输 入 为 abpsent， 而 且 当 前 状态 引出 的 任何 迁移 
上 监督 条 件 的 估 值 均 不 为 true， 那 么 该 状态 机 将 出 现 卡 顿 (stutter)。 卡 顿 式 响应 表示 输入 和 
输出 都 是 absent 且 状 态 机 不 改变 状态 ， 即 状态 机 没有 进展 也 没有 任何 改变 。 


GRD 在 图 3-4 中， 如 果 任 一 响应 中 两 个 输入 都 为 absent， 那 么 状态 机 将 会 出 现 
“ 卡 顿 ” 。 如 果 当 前 处 于 状态 0， 且 输入 down 为 present， 那 么 在 仅 有 的 迁移 上 其 监督 条 件 估 
值 为 false， 状 态 机 维持 在 原状 态 。 然 而 ， 因 为 输入 并 非 全 部 都 是 absent， 我 们 并 不 将 其 称 
为 卡 顿 式 响应 。 


有 限 状 态 机 模型 的 主要 优点 是 它们 定义 了 所 有 可 能 的 行为 。 示 例 3.1 中 对 于 停车 场 计 数 
器 的 非 形式 化 描述 没有 明确 地 说 明 如 果 计 数值 为 0 且 有 车 辆 离开 时 将 会 发 生 什么 。 但 图 3-4 
中 的 模型 定义 了 这 种 情况 下 会 发 生 什么 : 计数 值 依 旧 为 0。 由 此， 基于 有 限 状态 机 模型 就 可 
以 进行 形式 化 检验 ， 以 确定 特定 的 行为 是 否 满 足 实 际 期 望 。 非 形式 化 描述 不 能 用 于 形式 化 测 
试 ， 或 者 至 少 不 能 完全 进行 这 样 的 测试 。 

尽管 看 上 去 图 3-4 中 的 模型 没有 定义 状态 为 0 H. down 


为 present 时 会 发 生 什 么 ， 但 它 会 隐 含 地 做 出 这 样 的 响应 ; ae 
状态 保持 不 变 、 没 有 输出 。 该 图 中 并 没有 显 式 地 给 出 这 个 

响应 ， 但 有 时 强调 这 些 响应 是 有 用 的 ， 则 可 以 将 这 些 响应 i 

显 式 地 标 出 。 一 个 便捷 的 处 理 方法 是 使 用 一 个 默认 迁移 dowa naun p0 
(default transition), WHAI 3-6 所 示 ， 其 用 虚线 表示 且 标 记 为 图 3-6 不 需要 显 式 标示 的 默认 
“true /”。 如 果 没 有 非 默认 迁移 被 激活 ， 且 它 的 监督 条 件 结 迁移 ， 其 返回 当前 状态 
果 为 tue， 该 默认 迁移 就 会 被 激活 。 由 此 ,在 图 3-6 中 , 如 且 没有 输出 


果 up 人 一 down 的 值 为 false， 默 认 迁 移 就 会 被 激活 。 

默认 迁移 提供 了 便捷 的 标记 方法 ， 但 它们 并 非 实际 所 需 的 。 任 一 默认 迁移 都 可 以 被 蔡 换 
为 一 个 具有 合适 监督 条 件 的 普通 迁移 。 例 如 ， 在 图 3-6 中 我 们 就 可 以 采用 一 个 具有 监督 条 件 
~ (up A 一 down) 的 普通 迁移 。 

在 状态 机 的 逻辑 图 中 ， 普 通 迁 移 与 默认 迁移 的 使 用 也 可 以 看 作 一 种 为 迁移 分 配 优先 级 
的 方式 。 普 通 迁 移 较 默 认 迁 移 拥 有 更 高 的 优先 级 ， 即 : 当 两 个 迁移 都 有 估 值 为 true 的 监督 
条 件 时 ， 普 通 迁 移 优先 。 一 些 面向 状态 机 的 形式 化 方法 支持 多 于 两 个 级 别 的 优先 级 。 例 如 ， 
SyncCharts ( André, 1996 ) 给 每 一 个 迁移 分 配 一 个 整数 优先 级 。 这 可 以 使 得 监督 条 件 表达 式 
更 简化 ,但 代价 是 必须 在 图 中 指出 优先 级 。 


3.3.3 ”更 新 函数 


有 限 状态 机 的 图 形 化 表示 定义 了 状态 机 动态 性 的 特定 数学 模型 。 具 有 与 图 形 化 表示 相同 
含义 的 数学 表示 有 时 也 被 证 明 是 非常 方便 的 ， 特 别 是 对 那些 图 形 化 表示 方法 难以 处 理 的 大 型 
状态 机 。 在 这 样 的 数学 表示 中 ， 一 个 有 限 状 态 机 会 被 定义 为 以 下 五 元 组 。 

(States, Inputs, Outputs, update, initialState) 

其 中 : 

© States 是 一 个 有 限 状 态 集 ; 

e Inputs 是 输入 估 值 的 集合 ; 


o Outputs 是 输出 估 值 的 集合 ; 
e update : States x Inputs 一 States x Outputs 是 一 个 更 新 函数 ( update function)， 其 功 
能 是 将 一 个 状态 和 输入 估 值 映射 为 下 一 个 状态 和 输出 估 值 ; 

© initialState 是 一 个 初始 状态 。 

有 限 状 态 机 就 是 在 一 个 响应 序列 中 运行 转换 。 在 每 一 次 响应 中 ， 状 态 机 有 一 个 当前 状 

， 且 该 响应 可 以 迁移 到 下 一 个 状态 ， 即 下 一 个 响应 的 当前 状态 。 我 们 可 以 将 初始 状态 编号 
为 0。 具 体 来 讲 ， 我 们 用 s : N 一 States 作为 给 出 响应 n E N 时 状态 机 状态 的 函数 ， 初 始 时 
有 s(0)=initialState . 

4 x: N > Inputs Ñ y: N > Outputs 分 别 表 示 每 一 次 响应 中 的 输入 和 输出 估 值 。 由 此 ， 
x(0) E Inputs 是 第 一 个 输入 估 值 ，y(0) E Outputs 是 第 一 个 输出 估 值 。 状 态 机 的 动态 性 可 以 
由 式 〈3.1 ) 所 示 方 程 给 出 ， 其 根据 当前 状态 和 输入 给 出 了 下 一 个 状态 和 输出 。 更 新 函数 将 
状态 机 中 的 所 有 迁移 、 监 督 条 件 和 输出 进行 编码 ， 该 函数 也 常 被 称 为 迁移 函数 ( transition 
function ) 。 

(s(n + 1), y(n)) = update(s(n), x(n)) (3.1) 

另外 ,输入 、 输 出 估 值 也 有 其 天 然 的 数学 形式 。 假 定 一 个 状态 机 拥有 一 组 端口 P={p， 
…, PN}， 其 中 每 一 个 端口 P © PAA OV. ABA, Inputs 就 是 如 下 形式 的 函数 
集合 。 

EP ey VU {absent} 

对 于 每 一 个 p € Pipe ku iiaia 给 出 端口 p WÈ. Ak, K% i © Inputs 是 输 

入 端口 的 估 值 。 


GED 图 3-4 中 的 有 限 状 态 机 可 以 表示 为 如 下 数学 形式 。 
States={0, 1, =, M} 

Inputs=({up, down} > {present, absent} ) 

Outputs=( {count} 一 {0, 1,*…, M, absent}) 

initialState=0 


对 于 所 有 的 s E States 和 i E Inputs, BH RAMAN Vans (3.2). 


(s+l,s+l) # s<M 
Ai(up) = present 
Ai(down) = absent 
update(s, i) =4(s—1,s—1) # s>0 (3.2) 
Ai(up) = absent 
Ai(down) = present 


s, absent 其 他 


请 注意 ， 输 出 估 值 o E Outputs 是 形式 为 0: {count} 一 {0, 1, +, M, absent} 的 一 个 函数 。 
在 式 (3.2) 中 ， 第 一 项 给 出 的 输出 估 值 为 o=s+1， 其 含义 是 对 于 所 有 9 E O={count} 都 有 
常 函 数 o(9q)=s+l1。 当 有 多 个 输出 端口 时 ， 还 需要 清楚 表示 哪个 输出 值 被 分 配给 哪个 输出 端 
口 。 在 该 类 情形 下 ， 就 可 以 使 用 与 之 前 图 中 用 于 动作 的 相同 符号 。 


34 BD 动态 并 为 建 榜 


3.3.4 ”确定 性 与 接受 性 

本 节 给 出 的 状态 机 有 以 下 两 个 重要 特性 。 

确定 性 (Determinacy): 如 果 对 于 每 一 个 状态 ， 每 个 输入 值 最 多 激活 一 个 迁移 ， 那 么 该 
状态 就 是 确定 性 的 。 因 为 update 是 一 个 函数 而 不 是 一 个 一 对 多 的 映射 ， 所 以 ， 以 上 所 给 出 
有 限 状 态 机 的 形式 化 定义 就 可 以 确保 状态 机 是 确定 性 的 。 然 而 ,采用 监督 条 件 的 迁移 图 形 化 
标记 没有 这 样 的 约束 ， 其 仅 当 自 每 个 状态 引出 的 迁移 上 的 这 些 监督 条 件 不 重 炙 时 ， 该 状态 机 
才 会 是 确定 的 。 注 意 ， 一 个 确定 状态 机 是 确定 的 ， 意味 着 给 定 相 同 的 输入 将 产生 相同 的 输 
出 。 然 而 ， 并 非 每 一 个 确定 状态 机 都 是 确定 性 的 。 

接受 性 ( Receptiveness) : 如 果 对 于 每 个 状态 ， 对 于 各 输入 符号 至 少 存在 一 个 可 能 的 迁 
移 ， 那 么 这 个 状态 机 就 是 可 接受 的 。 换 名 话说 ， 接 受 性 保证 状态 机 总 是 准备 好 对 任何 输入 做 
出 反应 ， 而 不 会 在 任何 状态 中 “ 卡 住 ” 。 在 上 述 有 限 状 态 机 的 形式 化 定义 中 ,因为 wpdate 是 

一 个 函数 而 不 是 一 个 偏 函 数 (partial function)， 因 此 可 以 确保 状态 机 是 可 接受 的 。 且 对 于 每 

个 状态 和 输入 值 ， 该 函数 都 被 明确 地 定义 。 另 外 ， 在 我 们 的 符号 表示 中 ， 存 在 的 默认 迁移 已 
经 确保 了 给 出 的 所 有 状态 机 也 都 是 可 接受 的 。 

由 此 ， 如 果 一 个 状态 机 既是 确定 性 的 又 是 可 接受 的 ,那么 对 于 每 个 状态 ， 每 一 个 输入 值 
都 会 正好 有 一 个 可 能 的 迁移 。 


摩尔 和 米利 型 状态 机 

本 章 中 讨论 的 状态 机 被 称 为 米利 型 状态 机 (Mealy machine)， 贝 尔 实验 室 工程 师 
George H. Mealy 在 1955 年 发 布 了 该 类 状态 机 的 描述 ( Mealy，1955 )， 之 后 其 即 以 他 的 
名 字 命 名 。 米 利 型 状态 机 的 特点 在 于 只 要 执行 迁移 就 会 产生 输出 。 另 一 个 是 摩尔 型 状态 
机 (Moore machine)， 其 特点 在 于 当 状 态 机 在 一 个 状态 中 时 即 会 产生 输出 ， eae 
发 生 时 。 也 就 是 说 ， 输 出 由 当前 状态 决定 ， 而 不 是 当前 的 迁移 。 摩 尔 型 状态 机 以 贝 
验 室 的 工程 师 Edward F. Moore 的 名 字 命名 ， 他 在 1956 年 的 一 篇 文章 FDAk 
了 描述 (Moore，1956 ) 。 

这 些 状态 机 之 间 的 区 别 不 大 但 都 非常 重要 。 两 个 状态 机 都 是 离散 系统 ， 且 它们 的 操 
作 包 括 了 一 个 离散 响应 序列 。 对 于 摩尔 型 状态 机 ， 每 一 个 响应 产生 的 输出 由 当前 状态 决 
定 (在 响应 的 开始 而 不 是 结束 )， 由 此 ， 响 应 时 的 输出 不 依赖 于 同时 刻 的 输入 。 也 就 是 
说 ， 输 入 决定 激活 哪 一 个 迁移 ， 而 不 是 该 响应 会 有 什么 输出 。 因 此 ， 摩 尔 型 状态 机 具有 
严格 的 因果 特性 。 

停车 场 计数 器 的 摩尔 型 状态 机 如 图 3-7 所 示 。 输 出 使 用 了 斜 线 符号 ， 其 呈现 在 状 
态 中 而 不 是 迁移 上 。 然 而 请 注意 ， 该 状态 机 并 不 等 同 于 图 3-4 中 的 状态 机 。 为 了 理解 
这 一 点 ， 我 们 假设 在 第 一 个 响应 上 有 wup=present E down=absent， 该 时 刻 图 3-7 中 状 
态 机 的 输出 为 0， 而 在 图 3-4 中 则 为 1。 摩 尔 型 状态 机 的 输出 代表 当 有 和 车辆 到 来 时 停车 
场 中 车 辆 的 数量 ， 而 不 是 车 辆 到 来 之 后 的 车 辆 数 。 相 反 地 假设 在 第 一 个 响应 中 有 up= 
down=absent。 那 么 此 时 的 输出 在 图 3-7 中 为 0， 在 图 3-4 中 为 absent, 当 摩 尔 型 状态 机 
进行 响应 时 ， 通 常会 给 出 与 当前 状态 相关 联 的 输出 。 除 非 由 一 个 迁移 显 式 地 给 出 输出 ， 
米利 型 状态 机 不 会 产生 任何 输出 。 

任何 摩尔 型 状态 机 都 可 以 被 转换 为 等 价 的 米利 型 状态 机 。 一 个 米利 型 状态 机 也 可 以 
转换 为 一 个 几乎 等 价 的 摩尔 型 状态 机 ， 其 差异 仅 体 现 为 在 下 一 个 响应 而 不 是 在 当前 响应 
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功能 )， BAT PAS ARA MHD 的 输出 。 


输入 : up, down: pure 
输出 : count: {0,--- .M} 


Ta 人 一 dowm 2p 人 一 dow7 up A =down 


OTID 


foya 入 一 HP down (sup down A ~up 


图 3-7 面向 停车 场 车 辆 计数 系统 的 摩尔 型 状态 机 (请 注意 : 这 与 图 3-4 中 的 状态 机 不 等 价 ) 





3.4 扩展 状态 机 


当 状 态 数 量 扩大 时 ， 有 限 状态 机 的 符号 表示 就 变 得 有 些 难以 适 从 了 。 图 3-4 中 的 停车 场 
计数 器 清楚 地 说 明了 这 一 点 。 如 果 M 是 一 个 大 值 ,“ 圆 泡 + 弧 线 ”的 图 标 符号 表示 就 变 得 有 
些 困难 ， 这 也 是 我 们 在 图 中 非 正 式 地 使 用 了 省 略 号 “…” 的 原因 。 

扩展 状态 机 (extended state machine) 通过 使 用 变量 扩展 有 限 状态 机 模型 来 解决 这 个 问 
题 ， 这 些 变量 作为 在 状态 间 进 行 迁移 操作 的 一 部 分 ， 可 以 被 读 或 者 写 。 


<i> 利用 图 3-8 中 的 扩展 状态 机 ， 图 3-4 中 的 停车 场 计数 器 就 可 以 表示 得 更 加 简洁 。 
给 出 了 一 个 变量 c， 在 左上 部 显 式 声明 以 表明 ce 是 一 个 变量 ， 而 不 是 一 个 输入 或 输 

H, ee 变量 初始 化 为 0。 

然后 ， 当 输入 up X present, down } absent 且 变 量 c 小 于 M 时 ， 上 部 的 自 循环 迁移 被 
激活 。 执 行 该 迁移 时 ， 状 态 机 会 产生 一 个 输出 值 为 c+1l 的 输出 count, Zj, chtih 1。 

当 输 入 down J} present, up H absent 且 变 量 c 大 于 0 时 ， 下 部 的 自 循环 迁移 被 激活 。 
在 执行 这 个 迁移 时 ， 输 出 一 个 值 c-1,， 之 后 ，c 的 值 减 1。 

注意 ，M 是 一 个 参数 而 并 非 一 个 变量 。 具 体 来 说 ， 假 定 其 值 在 整个 执行 过 程 中 不 变 。 

ASH: c: {0,---,M} 


输入 : up, down: pure 
输出 : count: {0,… ,M} 


up \~down\c <M /c+1 





down -upA\c>0/c-1 


c:=c—] 


图 3-8 图 3-4 停车 场 计 数 器 的 扩展 状态 机 


扩展 状态 机 的 常用 符号 如 图 3-9 所 示 ， 其 与 图 3-3 所 示 的 基本 有 限 状 态 机 符号 有 三 个 方 
面 的 不 同 。 首 先 ， 显 式 地 给 出 变量 声明 ， 以 便于 确定 监督 条 件 中 的 标识 符 或 动作 是 否 使 用 一 
个 变量 或 者 一 个 输入 或 输出 。 其 次 ， 在 初始 阶段 ， 被 声明 的 变量 会 被 初始 化 ， 其 初始 值 显示 
在 指向 初始 状态 的 迁移 上 。 第 三 ， 迁 移 以 如 下 形式 标注 : 
监督 条 件 /输出 动作 
设置 动作 
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变量 声明 
输入 声明 
输出 声明 
监督 条 件 / 输 出 动作 
设置 动作 
ETD 


初始 设置 动作 监督 条 件 /输出 动作 
设置 动作 
图 3-9 扩展 状态 机 的 表示 方法 


除了 引用 了 变量 之 外 ， 其 监督 条 件 和 输出 动作 均 与 标准 有 限 状 态 机 相同 。 当 迁移 发 生 
时 ,在 监督 条 件 被 估 值 且 已 经 产生 输出 后 ， 新 增加 的 设置 动作 将 会 指定 变量 的 值 。 由 此 ， 如 
果 监 督 条 件 或 者 输出 动作 引用 了 一 个 变量 ， 该 变量 的 值 是 赋值 设置 动作 之 前 的 值 。 如 果 有 多 
个 设置 动作 ， 这 些 赋值 将 顺序 实施 。 

扩展 状态 机 还 可 以 提供 一 个 简易 的 方式 来 跟踪 时 间 的 流逝 。 


示例 3.95 图 3-10 给 出 了 一 个 表示 人 行道 交通 灯 的 扩展 状态 机 。 这 是 一 个 时 间 触 发 的 
状态 机 ， 并 假设 每 秒 响 应 一 次 。 状 态 机 以 红 灯 (red) 状态 开始 ， 且 用 变量 count 来 计数 60s。 
随后 ， 其 转换 为 绿灯 (green) 状态 ， 将 保持 至 纯 输 入 pedestrian 变 为 presents 这 个 输入 是 可 
以 被 生成 的 ， 如 可 以 由 行人 按 下 “请 求 通过 ”按钮 来 触发 。 当 pedestrian X present 时 ， 如 
果 它 已 在 绿灯 状态 保持 至 少 60s， 那么 状态 机 就 转换 至 黄 灯 (yellow) 状态 。 和 否则 ， 它 切换 到 
挂 起 (pending) 状态 并 在 60s 间隔 的 剩余 时 间 内 一 直 保 持 。 这 确保 了 一 旦 交通 灯 变 为 绿灯 ， 
其 至 少 会 保持 60s。 在 60s 结束 时 ， 它 将 转 为 黄 灯 状态 ， 并 在 转 回 红 灯 之 前 保持 Ss HEN. 

状态 机 产生 的 输出 是 sigG、sigY、sigR， 分 别 为 打开 绿灯 、 黄 灯 与 红 灯 。 


变量 : count: {0,… ,60} 
输入 : pedestrian : pure count < 60 / 
输出 : sigR, sigG, sigY : pure count := count+1 






count > 60 / sigG 
count :一 0 


pedestrian \ count < 60 / 
count := count + | 


(red) pedestrian \ count> 60 / sigY 


count :一 0 






count := count +1: 


count :一 0 


: count := count + | 










Count > 60 / sigY 
count È 5 / sigR count :一 0 
count :一 0 


yellow 


count := count + 1 


图 3-10 ”交通 灯 控 制 器 的 扩展 状态 机 模型 〈 假 设 在 规律 的 间隔 运行 ) 


扩展 状态 机 的 状态 不 仅 包括 了 状态 机 所 处 离散 状态 ( 圆 泡 图 标 所 示 ) 的 信息 ， 还 包括 了 
变量 的 值 。 扩 展 状 态 机 可 能 的 状态 数量 会 因此 变 得 非常 大 ， 其 至 是 无 限 大 。 如 果 有 个 离散 
状态 以 及 m 个 变量 (每 个 变量 的 值 是 p 个 可 能 值 中 的 一 个 )， 那 么 状态 机 的 状态 空间 大 小 表 
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示 为 如 下 形式 : 


|States| = np” 


GRIER 对 于 图 3-8 中 的 停车 场 计数 器 ， 有 n=1， m=1 以 及 p=M+1， 因 此 其 状态 的 
总 数 是 M+. 


扩展 状态 机 可 以 是 也 可 以 不 是 有 限 状 态 机 。 特 别 是 ，p 为 无 限 数量 的 情形 并 不 军 见 。 例 
如 ， 一 个 变量 可 以 在 自然 数 N 中 取 值 ， 此 时 状态 的 数量 就 会 是 无 限 大 。 


GERD 修改 图 3-8 中 的 状态 机 ， 使 顶部 迁移 的 监督 条 件 为 up A- down, THER 
up 八 一 down 人 c<M， 那 么 ,该 状态 机 就 不 再 是 一 个 有 限 状态 机 。 


一 些 状态 机 具有 一 些 永远 不 可 达 的 状态 ， 由 此 可 达 状 态 (reachable state) 集合 (在 某 输 
入 序列 上 可 以 从 初始 状态 到 达 的 所 有 状态 ) 就 可 能 比 状态 集合 更 小 。 


GREP 虽然 在 图 3-10 中 仅 有 4 个 圆 泡 ， 但 实际 状态 的 数量 要 比 这 多 得 多 。 变 量 
count 具有 61 个 可 能 的 取 值 且 有 4 个 圆 泡 ， 其 组 合 就 共有 61X4=244 个 ， 由 此 状态 空间 的 
规模 为 244。 然 而 ， 并 非 所 有 的 状态 都 是 可 达 的 。 特 别 是 在 黄 灯 状态 时 ，coxnt 变量 仅 取 6 
个 值 即 {0, …, 5} 中 的 一 个 。 因 此 ， 该 状态 机 的 可 达 状 态 数量 就 是 61X3+6=189 个 。 


3.5 非 确定 性 


大 多 数 引 人 关注 的 状态 机 都 会 对 输入 做 出 反应 并 产生 输出 ， 这 些 输入 必须 来 自 于 “ 某 
处 ”， 且 输出 必须 去 往 “ 某 处 ”。 我 们 将 这 个 “ 某 处 ” 称 为 状态 机 的 环境 (environment), 


AED 日 3-10 中 的 交通 灯 控 制 器 有 一 个 纯 输入 信号 ， 即 pedestrian。 当 行人 到 达 
人 行 横道 时 该 输入 为 present， 而 交通 灯 则 保持 为 绿灯 直至 有 行人 到 来 。 其 他 一 些 子 系统 被 
用 于 产生 pedestrian 事件 ， 如 可 假定 响应 行人 按 下 请 求 通过 的 按钮 。 该 子 系统 是 图 3-10 中 
有 限 状态 机 环境 的 一 部 分 。 


随 之 而 来 的 是 如 何 对 环境 进行 建 模 的 问题 。 在 交通 灯 示 例 中 ,我 们 可 以 构造 城市 中 的 行 
人 流 模型 来 服务 于 这 个 目标 ,但 这 可 能 是 非常 复杂 的 模型 ， 而 且 也 可 能 比 所 需要 的 更 为 详 
细 。 但 我 们 必须 要 忽视 一 些 无 关 紧 要 的 细节 ， 专 注 于 交通 灯 的 设计 。 这 一 点 可 以 通过 使 用 非 
确定 性 状态 机 来 做 到 。 


< 四 3-11 中 的 有 限 状态 机 对 到 达 人 行道 的 行人 进行 建 模 ， 人 行道 具有 如 图 
3-10 所 示 的 交通 灯 控 制 器 。 这 个 有 限 状 态 机 有 三 个 输入 ， 且 假定 均 来 自 于 图 3-10 的 输出 。 
它 的 单个 输出 pedestrian 将 为 图 3-10 提供 输入 。 

状态 机 的 初始 状态 为 crossing (其 原因 参见 习题 6)。 当 接收 到 sigG 时 ， 状 态 机 会 转换 
到 none 状态 。 由 这 个 状态 引出 的 两 个 迁移 都 有 值 为 true 的 监督 条 件 ， 说 明 它 们 是 一 直 被 激 
活 的 。 由 于 两 个 都 被 激活 ， 那 么 状态 机 就 是 不 确定 的 。 状 态 机 可 能 停留 在 相同 状态 且 不 产生 
输出 ， 或 者 转换 到 waiting 状态 并 产生 纯 输 出 pedestrian. 

这 个 状态 机 与 图 3-10 中 的 状态 机 之 间 的 交互 是 非常 微妙 的 。 习 题 6 考虑 了 这 个 设计 上 
的 变化 ， 而 且 我 们 会 在 第 5 章 深 入 学 习 这 两 个 状态 机 的 组 合 。 
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输入 : sigR, sigG, sigY : pure 
输出 : pedestrian : pure 


true/ 





true / pedestrian 


图 3-11 行人 到 达 人 行道 的 非 确定 模型 


如 果 对 于 状态 机 的 任何 状态 存在 两 个 或 多 个 不 同 迁 移 ， 且 其 在 同一 啊 应 中 监督 条 件 的 佑 
值 都 为 true， 那 么 这 样 的 状态 机 就 是 非 确 定性 的 。 在 该 类 状态 机 的 图 中 ， 使 状态 机 变 得 非 确 
定 的 迁移 都 被 标 为 灰色 。 在 图 3-11 所 示 的 例子 中 ， 状 态 none 上 存在 的 迁移 就 会 导致 状态 机 
的 不 确定 性 。 

另外 ， 也 可 以 定义 出 具有 多 个 初始 状态 的 状态 机 ， 这 样 的 状态 机 也 是 非 确定 性 的 。 习 题 
6 中 给 出 了 这 样 的 一 个 例子 。 

在 这 两 种 情形 中 ， 非 确定 性 有 限 状 态 机 给 出 了 一 个 可 能 的 响应 族 ， 而 不 再 是 单个 响应 。 在 
操作 上 ， 该 族 中 的 所 有 响应 都 是 可 能 的 。 非 确定 性 有 限 状 态 机 根本 没有 对 这 些 不 同 响应 的 可 能 
性 给 出 说 明 。 例 如 ， 在 图 3-11 的 状态 none 中 一 直 采 用 自 循环 迁移 是 完全 正确 的 。 一 个 确定 了 
可 能 性 (以 概率 的 形式 ) 的 模型 是 随机 模型 (stochastic model)， 其 与 非 确定 性 模型 完全 不 同 。 


3.5.1 形式 化 模型 


形式 化 地 ， 一 个 非 确定 性 有 限 状 态 机 被 表示 为 类 似 于 确定 性 有 限 状 态 机 的 五 元 组 ， 形 式 

如 下 。 
(States, Inputs, Outputs, possibleUpdates, initialStates) 

前 三 个 元 素 与 确定 性 有 限 状 态 机 中 的 定义 完全 相同 ， 但 后 两 个 有 所 区 别 ， 有 具体 说 明 如 下 。 

© States 是 一 个 有 限 状 态 集 ; 

e Inputs 是 输入 估 值 的 集合 ; 

© Outputs 是 输出 估 值 的 集合 ; 

e possibleUpdates : States x Inputs — 2°°*°"™" 是 一 个 更 新 关系 (update relation), 

将 一 个 状态 和 输入 估 值 映射 到 一 组 可 能 的 “(下 一 状态 ， 输 出 估 值 )” 对 ; 

e initialStates 是 一 个 初始 状态 的 集合 。 

函数 possibleUpdates 的 定义 形式 说 明了 ， 对 于 给 定 的 当前 状态 以 及 输入 估 值 ， 可 
能 会 存在 多 个 下 一 状态 和 /或 输出 估 值 ， 其 到 达 域 是 States x Outputs WEE. RI 
possibleUpdates 图 数 看 作 一 个 更 新 关系 ( relation )， 以 强调 该 差异 。 迁 移 关 系 (transition 
relation) 一 词 也 常常 被 用 来 代替 更 新 关系 。 

为 了 包含 非 确定 性 有 限 状 态 机 可 以 有 多 个 初始 状态 这 一 实际 情况 ，initialStates 被 定义 
为 一 个 集合 而 不 是 States 中 的 单独 元 素 。 


日 原著 中 为 红色 。 一 一 译 者 注 
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GERD 图 3-11 中 的 有 限 状态 机 可 以 被 形式 化 地 表示 为 如 下 形式 。 
States={none, waiting, crossing} 
Inputs=({sigG, sigY, sigR} 一 {present, absent}) 
Outputs=( {pedestrian} — {present, absent}) 


initialStates= {crossing } 


进而 ， 对 于 所 有 的 8 © States 和 i E Inputs， 可 以 给 出 如 下 更 新 关系 。 


{(none, absent)} 
# s =crossing 
Ai(sigG) = present 
{(none, absent), (waiting, present)} 
possibleUpdates(s, i) = # s = none (3.3) 
{(crossing, absent)} 
4 s = waiting 
Ai(sigR) = present 


{(s, absent)} 其 他 





请 注意 ， 一 个 输出 估 值 o © Outputs 是 一 个 形式 为 o: {pedestrian} 一 {present, absent} 
的 函数 。 在 式 (3.3 ) 中 ， 第 二 项 给 出 了 两 个 可 能 的 结果 ， 反 映 出 该 状态 机 的 非 确 定性 。 


3.5.2 ” 非 确 定性 的 用 途 


非 确定 性 本 身 是 一 个 很 有 意思 的 数学 概念 ， 其 在 租 入 式 系 统 建 模 中 也 有 两 个 主要 用 途 。 
环境 建 模 (Environment Modeling): 隐藏 与 环境 运行 情况 无 关 的 细节 通常 是 有 用 的 ， 但 
这 会 导致 非 确定 性 有 限 状态 机 模型 。 我 们 已 经 在 图 3-11 中 看 到 过 该 类 环境 建 模 的 例子 。 
规格 ( Specification) : 系统 规格 对 
某 些 系 统 特性 提出 了 要 求 ， 而 其 他 特性 H: pedesrien: pu 
ity: sigR, sigG, sigY: pure 
则 不 受 约束 。 非 确定 性 在 这 种 设 定 中 也 
是 一 个 有 用 的 建 模 技术 。 例 如 ， 考 虑 交 
通 灯 循环 顺序 遍历 red, green, yellow 
的 规格 ， 而 不 考虑 输出 之 间 的 时 间 。 图 
3-12 中 的 非 确 定性 有 限 状 态 机 对 这 个 规 
格 进行 了 建 模 ， 每 个 迁移 上 的 监督 条 件 
为 true 表示 可 以 在 任 一 步 进行 迁移 。 技 






true / sigR true / sigY 


yellow 


术 上 讲 ， 这 意味 着 对 于 Inputs 中 的 任何 true / sigY 
输入 估 值 每 一 个 迁移 都 可 以 被 激活 。 图 3-12 ”指定 交通 灯 顺 序 但 不 指定 时 间 的 非 确定 性 有 


gs be i 限 状 态 机 (注意: 其 忽略 了 输入 pedestrian) 
3.6 ”行为 与 轨迹 
有 限 状 态 机 具有 离散 动态 性 。 如 3.3.3 节 那 样 ， 我 们 可 以 去 掉 时 间 的 变化 并 且 仅 考虑 响 
应 的 序列 ， 而 不 用 关心 响应 何 时 发 生 。 我 们 不 必 明 确 地 讨论 两 个 响应 之 间 间 隔 的 时 间 ， 因 为 
这 实际 上 与 有 限 状 态 机 的 行为 无 关 。 
考虑 状态 机 的 一 个 端口 p， 其 类 型 为 万 。 这 个 端口 上 将 有 一 个 来 自 集合 VU {absent} 
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的 值 的 序列 ， 每 个 响应 都 对 应 一 个 值 。 我 们 可 以 将 这 个 序列 表示 为 如 下 形式 的 函数 (其 是 输 
入 端口 上 接收 的 信号 或 输出 端口 上 产生 的 信号 )。 
sp: N— V, U {absent} 
状态 机 的 行为 (behavior) 即将 这 样 的 信号 分 配 到 每 个 端口 ， 使 得 任何 输出 端口 上 的 信 
号 都 是 针对 给 定 输入 信号 所 产生 的 输出 序列 。 


< 四 3-4 中 的 停车 场 计 数 器 具有 输入 端口 集合 P={up, down}, RBA V= 
Viown= {present}, Eii tH tq OAD H Vicun={0, =, M} 的 集合 Q={count}。 如 下 给 出 一 个 输 
入 序列 的 例子 。 
Su ( present, absent, present, absent, present, ++) 
Saown= ( present, absent, absent, present, absent, *… ) 
对 应 地 会 有 如 下 输出 序列 : 
Scount= (absent, absent, 1, 0, 1, -**) 
Sups Sdown 与 Scoum 这 三 个 信号 一 起 构成 了 状态 机 的 一 个 行为 。 如 果 令 : 
Scout=(1, 2, 3, 4, 5, *…) 
ABZ. Supr Sdown 与 Slo 这 三 个 信号 就 不 能 构成 状态 机 的 一 个 行为 。 信 号 sso 不 是 在 对 这 
些 输 入 进行 响应 时 产生 的 。 


确定 性 状态 机 具有 这 样 的 特性 ， 即 对 于 输入 序列 的 每 个 集合 都 恰好 有 一 个 行为 。 也 就 是 
说 ， 如 果 输 入 序列 已 知 ， 那 么 输出 序列 就 是 完全 确定 的 ， 即 状态 机 是 确定 的 。 这 样 的 状态 机 
可 以 被 看 作 一 个 将 输入 序列 映射 到 输出 序列 的 函数 。 非 确定 性 状态 机 可 以 有 共享 相同 输入 序 
列 的 多 个 行为 ， 因 此 并 不 能 被 看 作 一 个 将 输入 序列 投射 到 输出 序列 的 函数 。 

状态 机 M 所 有 行为 的 集合 被 称 为 它 的 语言 (language)， 记 为 L(M)。 由 于 我 们 的 状态 机 
是 可 接受 的 ， 因此， 它们 的 语言 常常 包括 了 所 有 可 能 的 输入 序列 。 

一 个 行为 可 以 被 更 加 方便 地 表示 为 一 个 估 值 的 序列 ， 称 为 可 观察 轨迹 (observable 
trace)。 仿 x, 和 yy 分 别 表示 在 响应 i 中 输入 端口 的 估 值 和 输出 端口 的 佑 值 ， 那 么 一 个 可 观察 
的 轨迹 就 是 如 下 一 个 序列 (实际 上 ， 可 观察 的 轨迹 正 是 行为 的 男 一 种 表示 ): 

(Co Yo ) Œn Vi ) Xa, V2), °°) 
能 够 对 贯穿 于 一 个 行为 的 状态 进行 推理 常常 是 很 有 用 的 。 执 行 轨迹 〈execution trace) 包 
括 了 状态 路 径 ， 可 以 被 写 为 如 下 序列 (其 中 ，so=initialState): 
(Go So Yo Co Sr ¥1 ), Oz 52, y2 ),***) 
进而 ， 这 可 以 较为 图 形 化 地 表示 为 如 下 形式 : 
s 224 5, 2455, 24>. 

如 果 对 于 所 有 的 o EN, A (siw, y) = update(s,, x) 〈 对 于 确定 性 状态 机 而 言 )， 或 者 (si， 
y) E possibleUpdates(s,, x) (对 于 非 确定 性 状态 机 而 言 )， 即 一 个 执行 轨迹 。 

GRIER 再 次 考虑 图 3-4 中 的 停车 场 计数 器 ， 其 具有 来 自 示例 3.16 的 相同 输入 序列 
Sup 和 suow， 那 么 相应 的 执行 轨迹 可 以 记 为 如 下 形式 。 
0 upadown!/ 


0 / 0 up/\ 1 down/0 ; 0 upil = 


这 里 ， 我 们 使 用 了 与 3.3.1 节 迁 移 中 所 使 用 的 估 值 相同 的 简写 。 例 如 ， 标记 “up/1” 表 
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示 up Æ present, down Æ absent, count 的 值 为 1。 请 注意 ， 任 何 可 以 清晰 、 无 混淆 地 表示 
输入 和 输出 估 值 的 符号 都 是 可 接受 的 。 


对 于 一 个 非 确定 性 状态 机 ， 可 表示 特定 输入 序列 对 应 的 所 有 可 能 的 轨迹 ， 甚 至 全 部 可 能 
的 输入 序列 所 对 应 的 全 部 可 能 轨迹 ， 是 有 意义 的 。 这 可 以 通过 计算 树 ( computation tree) 来 
实现 。 


UED 4 Ea 3-12 中 的 非 确定 性 状态 机 。 图 3-13 给 出 了 任何 输入 序列 上 前 三 个 
响应 的 计算 树 。 树 中 的 结 点 是 状态 ， 边 上 标记 了 输入 和 输出 估 值 ， 其 中 true 表示 任何 输入 
估 值 。 






yellow 


true / sigY 


(green ) true / sigG T 
true / sigG 
D 


Me true / sigG 
(red ) on 
true ae 


nee 
图 3-13 图 3-12 中 有 限 状 态 机 的 计算 树 


3.7 ih 


本 章 介绍 了 使 用 状态 机 对 具有 离散 动态 特性 的 系统 进行 建 模 的 方法 ， 给 出 了 一 个 适合 于 
有 限 状 态 机 的 图 形 化 标记 ， 以 及 一 个 可 以 简洁 地 表示 大 规模 状态 的 扩展 状态 机 模型 ， 同 时 给 
出 了 使 用 集合 与 函数 而 不 是 可 视 符 号 的 数学 模型 。 数 学 表示 法 可 以 被 用 来 保证 模型 的 精确 解 
释 ， 以 及 证 明 模型 的 相关 特性 。 本 章 还 讨论 了 非 确定 性 ， 其 提供 了 更 为 方便 的 抽象 ， 可 以 简 
洁 地 表示 行为 集合 。 


习题 
1. 考虑 3.1 节 中 计数 器 简化 版 的 事件 计数 器 EventCounter， 其 符号 表示 如 下 。 


EventCounter 


a pe 
这 个 参 元 以 状态 了 开始 ， 并 在 输入 事件 到 来 时 ， 递 增 该 状态 并 将 新 值 发 送 到 输出 端 。 因 此 ，e 是 


纯 信号 ，c 的 形式 为 c: R— {absent} U N, Biti E N。 假 定 将 在 气象 站 使 用 这 样 的 计数 器 ， 对 温 
度 高 过 某 阔 值 的 次 数 进行 计数 。 本 题 的 任务 是 为 事件 计数 器 生成 一 个 合理 的 输入 信号 e， 请 创建 如 
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下 几 个 不 同 版 本 的 模型 。 对 于 所 有 版 本 ， 请 设计 一 个 状态 机 ， 其 输入 为 信号 rr R—> {absent} U Z, 
每 小 时 提供 一 次 当前 温度 (摄氏 度 ), 输出 e : IR {absent, present) 是 一 个 进入 事件 计数 器 的 纯 


信号 。 
(a) 对 于 第 一 个 版 本 ， 每 当 输 入 为 present 上 且 高 于 38 人 CC 时， 状态 机 只 会 产生 一 个 present 输出 ; 否则 ， 
输出 为 absent。 


(b) 对 于 第 二 个 版 本 ， 状 态 机 应 该 具有 迟滞 性 。 具 体 来 说 ， 在 输入 第 一 次 高 于 38% 时 状态 机 应 该 产 
生 一 个 present 输出 ; 随后 ， 当 温度 从 最 后 一 次 输出 为 present 起 下 降 到 36 以 下 并 且 又 上 升 到 
38 人 以 上 时 ， 状 态 机 就 会 输出 present. 
(c) 对 于 第 三 个 版 本 ,状态 机 中 应 该 实现 (b) 中 相同 的 迟滞 性 ， 但 每 天 最 多 产生 一 个 present 输出 。 
2. 考虑 示例 3.5 中 的 恒温 器 变 体 。 该 变 体 中 仅 有 一 个 温度 门限 值 ， 同 时 ， 为 了 避免 抖动 ， 该 恒温 器 
至 少 要 在 一 段 固定 的 时 间 里 保持 加 热 器 在 打开 或 关闭 状态 。 在 初始 状态 中 ， 如 果 温 度 低 于 或 等 于 
20C， 其 打开 加 热 器 并 保持 至 少 30s。 之 后 ， 如 果 温 度 高 于 20%C， 它 将 关闭 加 热 器 并 保持 至 少 2 
min。 在 温度 低 于 或 等 于 20% 时 ， 其 将 再 次 打开 加 热 器 。 
(a) 设计 一 个 行为 如 上 所 述 的 有 限 状 态 机 ， 假 设 其 每 隔 30s 响应 一 次 。 
(b) 所 设计 的 恒温 器 有 多 少 可 能 的 状态 ? 这 些 状 态 的 数量 是 否 为 最 少 ? 
(c) 所 建 恒温 器 的 模型 是 否 具有 时 间 比 例 不 变 这 一 特性 ? 
3. 参照 如 下 状态 机 。 


输出 : y: {0,1} 
true/ 1 true / 0 


请 判断 如 下 叙述 是 否 成 立 ， 并 给 出 理由 : 
输出 最 终 将 是 一 个 常数 0， 或 者 常数 ]。 也 就 是 说 ， 对 于 n E NN， 在 第 nn 个 响应 之 后 ， 
每 一 个 后 续 响 应 中 的 输出 要 么 为 0， 要 么 为 1。 
注意 ， 第 13 章 给 出 了 一 些 可 以 使 这 些 叙 述 更 加 准确 并 对 其 进行 推理 的 机 制 。 
4. 如 下 状态 机 有 多 少 可 达 状 态 ? 


输入 : a: pure true/ 
变量 : ne Z 





5. 考虑 简单 交通 灯 的 确定 性 有 限 状 态 机 ， 如 图 3-14 所 示 。 


输入 : rick: pure 
输出 : go, stop: pure 






tick / go 


tick / stop 





图 3-14 习题 5 的 确定 性 有 限 状 态 机 


CN 


N 


8. 
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(a) 以 如 下 五 元 组 的 形式 给 出 该 状态 机 形式 化 描述 。 
(States, Inputs, Outputs, update, initialState) 
(b) 给 出 一 个 长 度 为 4 的 状态 机 执行 轨迹 ， 假 定 每 一 个 响应 上 的 输入 tick 是 presents 
(c) 考虑 将 red 和 yellow 状态 合并 为 一 个 单独 的 状态 stop， 此 时 ， 原 来 这 些 状 态 上 的 迁移 都 被 引 至 
新 的 stop 状态 ， 其 他 的 迁移 以 及 输入 、 输 出 保持 不 变 。stop 状态 是 新 的 初始 状态 。 那 么 ， 所 得 
到 的 状态 机 是 确定 性 的 吗 ? 请 说 明 原 因 。 如 果 其 是 确定 性 的 ， 请 给 出 长 度 为 4 的 轨迹 的 前 组 。 
如 果 是 非 确定 性 的 ， 请 画 出 深度 为 4 的 计算 树 。 


. 本 题 考虑 图 3-11 中 有 限 状 态 机 的 变 体 ， 其 对 到 达 人 行道 的 行人 进行 建 模 。 假 设 人 行道 的 交通 灯 由 图 


3-10 中 的 有 限 状 态 机 所 控制 。 在 所 有 情形 下 ， 假 设 一 个 时 间 和 触发 的 模型 ， 其 中 行人 模型 与 交通 灯 模 
型 均 是 每 秒 响 应 一 次 。 进 而 ， 假 设 在 每 一 次 响应 中 ， 每 个 状态 机 将 另 一 个 状态 机 在 同一 响应 中 的 输 
出 看 作 输 入 (该 组 合 形式 被 称 为 同步 组 合 ， 将 在 第 6 章 介 绍 )。 
(a) 替代 图 3-11 中 的 模型 ， 我们 使 用 如 下 有 限 状态 机 模型 对 行人 的 到 来 行为 进行 建 模 。 

输入 : sigR, sigG, sigY ; pure 


输出 : pedestrian : pure 
true / 


© true / pedestrian 
sigG / 
请 找 出 一 个 轨迹 ， 行 人 到 达 (上 面 的 状态 机 迁移 到 waiting KAS) 但 并 不 允许 通过 。 也 就 是 说 ， 
在 行人 到 来 之 后 ， 交 通 灯 不 会 进入 red 状态 。 
(b) 替代 图 3-11 中 的 模型 ， 我 们 使 用 如 下 有 限 状 态 机 来 建 模 行 人 的 到 达 行 为 。 
输入 : sigR, sigG, sigY : pure 


输出 : pedestrian : pure 
true / 










crossing 


这 里 ， 不 确定 地 选择 初始 状态 为 none 或 者 crossing。 找 出 一 个 轨迹 , 行人 到 达 (以 上 状态 机 从 
none 状态 迁移 到 waiting KAS) 但 不 允许 通过 。 也 就 是 说 ， 在 行人 到 来 之 后 ， 交 通 灯 不 会 进入 red 
状态 。 


. 参照 如 图 3-15 所 示 状 态 机 。 请 判别 以 下 每 一 条 是 否 为 该 状态 机 的 一 个 行为 。 在 以 下 的 每 一 条 中 ， 省 


略 号 “…” 意 味 着 最 后 一 个 符号 的 无 限 重复 。 同 时 ， 为 了 便于 阅读 ， 分 别 将 absent All present 简 记 
H a Fil po 


(a) x=(p,p,p.p.p.°*), yv=(0,1, 1,0, 0, -*-) 
(b) x=(p, P,P, P, Pp, *:), y=(0, 1,1, 0, a, …) 
(c) x=(a,p,a,p,a,***), y=(a,1,a,0, a, ++) 
(e) x=(p,p,P,P,P,°**), yv=(0,0, 4, a, a, -**) 
(d) x= (p,p, P, p,p, >), y= (0,4, 0, a, a, …) 


(提示 : 这 是 一 个 高 级 学 习 阶段 的 习题 ) 本 题 研究 前 文 “ 延 伸 探 讨 : 离散 信号 ”中 形式 化 定义 的 离散 
信号 的 性 质 。 特 别 是 ， 我 们 将 给 出 : 离散 性 并 非 一 个 可 组 合 的 特性 。 也 就 是 说 ， 当 在 一 个 系统 中 组 
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合 两 个 离散 行为 时 ， 得 到 的 组 合 结果 不 一 定 是 离散 的 。 


输入 : x: pure 
输出 : y: {0, 1} 
xil 
x/0 x/0 
CA) (8) (Cc) 


图 3-15 一 个 状态 机 


(a) 考虑 一 个 纯 信 号 x : R— {present, absent} ， 对 于 所 有 的 +E 及， 其 定义 如 下 。 
ie l oi 如 果 t 是 非 负数 
absent 其 他 

请 证 明 该 信号 是 离散 的 。 

(b) 考虑 一 个 纯 信 号 y : R—- {present, absent} ， 对 于 所 有 的 1 ER, He CMF. 
present ”如 果 对 于 任意 正 整 数 n 有 三 1-1/n 
WO={ absent 其 他 

请 证 明 该 信号 是 离散 的 。 
(c) 考虑 一 个 信号 w， 其 是 上 述 x My 的 组 合 。 也 就 是 说 ， 如 果 x(1)=present 或 者 y(t)=present, w(t) = 

present， 其 他 情况 下 均 为 absent。 请 证 明 w 不 是 离散 的 。 
(d) 参照 图 3-1 中 所 示 的 例子 , 假设 “到 达 ” 和 “离开 ”两 个 信和 号 都 是 离散 的 。 请 证 明 这 并 不 表示 

输出 count 就 是 离散 信号 。 


| 第 4 音 


Introduction to Embedded Systems: A Cyber-Physical Systems Approach, 2E 


混合 系统 





第 2 章 与 第 3 章 阐 述 了 两 个 不 同 的 建 模 策略 ， 一 个 关注 连续 动态 性 ， 另 一 个 则 侧重 于 离 
散 动 态 性 。 对 于 连续 动态 性 ， 使 用 了 微分 方程 以 及 相应 的 参 元 模型 ; 对 于 离散 动态 性 ， 则 采 
用 状态 机 。 

由 于 信息 物理 融合 系统 集成 了 物理 动态 性 以 及 计算 系统 ， 因 此 它们 也 常常 结合 了 离散 
和 连续 动态 性 。 在 本 章 ， 我们 将 给 出 合成 以 上 两 种 模型 的 建 模 机 制 ， 从 而 构造 出 混合 系统 
(hybrid system)。 与 仅 限 于 上 述 章节 中 两 种 类 型 之 一 的 原生 模型 相 比 ， 混 合 系统 模型 通常 更 
为 简化 ， 也 更 易于 理解 ， 是 理解 真实 世界 系统 的 一 个 强 有 力 工具 。 


41 模 态 模型 


在 本 节 ， 我 们 将 说 明 状 态 机 可 以 支持 连续 的 输入 和 输出 ， 并 可 以 结合 离散 和 连续 动 


4.1.1 状态 机 的 参 元 模型 


在 3.3.1 节 已 经 阐述 过 ， 状 态 机 具有 由 纯 信和 号 或 携带 值 的 Inputs 集合 定义 的 输入 。 无 论 
是 纯 信号 还 是 携带 值 的 输入 ， 状 态 机 都 有 一 组 输入 端口 。 当 输入 为 纯 信 号 时 输出 要 么 是 存在 
要 么 是 不 存在 ， 而 对 于 携带 值 的 输入 信和 号， 状态 机 的 每 一 个 响应 上 都 有 一 个 值 。 

在 3.3.1 节 中 已 经 说 明 迁 移 上 的 动作 会 设置 输出 的 值 。 输 出 也 可 以 由 端口 表示 ， 而 且 端 
口 也 可 以 携带 纯 信 号 或 者 有 值 的 信号 。 在 纯 信 和 号 情形 下 ， 所 执行 的 迁移 指定 输出 为 存在 或 者 
不 存在 ， 而 对 于 携带 值 的 信号 ， 该 迁移 会 进行 赋值 或 认定 信号 不 存在 。 假 定 迁 移 之 间 的 输出 
不 存在 。 

给 定 状态 机 的 输入 /输出 视图 ， 就 会 很 自然 地 将 
一 个 状态 机 视 为 参 元 ， 如 图 4-1 所 示 。 图 中 ， 我们 假 
wn MMi ii, 的 输入 端口 。 在 每 一 个 响应 中 ， 这 
些 端口 有 一 个 要 么 为 present 要 么 为 absent (如 果 端 口 
携带 一 个 纯 信 号 ) 的 值 ， 或 者 是 某 个 值 集合 中 的 一 个 
E (如 果 端 口 带 有 一 个 携 值 的 信号 )。 这 些 输出 是 相似 
的 。 迁 移 上 的 监督 条 件 (guard) 定义 了 输入 端口 上 可 
能 取 值 的 子 集 ， 迁 移 上 的 动作 (action) 给 输出 端口 赋 
值 。 给 定 一 个 这 样 的 参 元 模型 ， 就 可 以 简单 地 生成 允 
许 输入 为 时 间 连 续 信 号 的 有 限 状 态 机 。 图 4-1 表示 为 参 元 的 有 限 状 态 机 


4.1.2 连续 输入 
迄今 为 止 ， 我 们 已 经 假设 状态 机 在 一 系列 的 离散 响应 中 和 运行， 也 已 经 假设 响应 之 间 的 输 


guard / action 
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入 和 输出 是 不 存在 的 。 现 在 ， 我 们 将 要 把 这 些 假 设 泛 化 ， 以 允许 输入 和 输出 都 是 时 间 连 续 
信号 。 

为 了 使 状态 机 模型 能 够 与 基于 时 间 的 模型 共存 ， 我 们 需要 阐明 在 系统 的 时 基 系 统 部 分 中 
在 同一 时 间 线 上 所 发 生 的 状态 迁移 。3.1 节 中 阐述 的 离散 响应 概念 对 此 已 经 够 用 ， 但 我 们 将 
不 再 要 求 响应 间 不 存在 输入 和 和 输出。 相反 ， 我 们 将 定义 这 样 的 一 个 迁移 : 在 从 当前 状态 所 引 
出 迁移 的 监督 条 件 成 立时 该 迁移 发 生 。 如 前 所 述 ， 在 处 于 响应 之 间 时 ， 状 态 机 被 理解 为 不 在 
模式 间 迁 移 。 但 在 这 段 时 间 里 ， 不 再 要 求 输入 和 输出 是 不 存在 的 。 


GIL 将 一 个 但 温 器 建 模 为 具有 状态 I= 
{heating, cooling} 的 状态 机 ， 如 图 4-2 所 示 。 这 是 示 
例 3.5 模型 的 变 体 ， 其 中 ， 输 入 是 一 个 时 间 连 续 信号 
tT: 及 一 民 ,，7t( 四 表示 t+ 时刻 的 温度 ， 而 不 是 在 每 个 响 
应 中 提供 一 个 温度 的 离散 输入 。 状 态 机 的 初始 状态 为 





tt) = 22 / heatOff 





cooling， 且 从 该 状态 发 出 的 迁移 会 在 自 z() < 18 成 立 人 (reanna ) 
之 后 的 最 早 ! 时 刻 激活 。 该 示例 中 ， 我 们 假设 输出 为 TOS ee 
纯 信 号 heatOn 和 heatOff. 图 4-2 具有 时 间 连 续 输 入 信和 号 状态 


PEY i FEI 
在 上 例 中 ， 仅 当 迁 移 发 生 时 输出 是 存在 的 。 我 们 iaaii 


也 可 以 将 有 限 状态 机 扩展 为 可 以 支持 时 间 连 续 的 和 输出， 要 实现 这 一 点 ， 我 们 就 需要 进一步 使 
用 状态 精 化 的 概念 。 


4.1.3 状态 精 化 
混合 系统 将 有 限 状 态 机 的 每 个 状态 与 一 个 动态 行为 进行 关联 。 以 下 示例 仅 使 用 这 种 能 力 
来 产生 一 个 时 间 连 续 的 输出 。 


UED 假设 并 非 期 望 示例 4.1 中 所 示 的 离散 输 
出 ， 而 是 希望 产生 这 样 一 个 控制 信号 : 当 加 热 器 打开 
时 其 值 为 1， 当 加 热 器 关闭 时 其 值 为 0。 该 控制 信号 可 
以 直接 驱动 加 热 器 。 图 4-3 中 的 恒温 器 实现 了 这 一 功 a 


x) 
能 。 该 图 中 ， 每 个 状态 都 有 一 个 精 化 ， 当 状态 机 处 于 Cf y cD 
该 状态 中 时 其 输出 及 的 值 。 es = 


‘(1 <18/ : 
在 一 个 混合 系统 中 ， 状 态 机 的 当前 状态 有 一 个 状 1 | ’ ， 
态 精 化 ( state refinement)， 其 将 输出 的 动态 行为 刻画 
为 输入 的 函数 。 在 以 上 简单 的 示例 中 ， 每 个 状态 中 的 
输出 都 是 常量 ， 这 是 相当 普通 的 动态 性 。 显 然 ， 混 合 E43 具有 时 间 连 续 输 出 的 恒温 器 
系统 可 以 变 得 更 加 复杂 。 
混合 系统 模型 的 一 般 结构 如 图 4-4 所 示 ， 其 给 出 了 一 个 具有 两 个 状态 的 有 限 状 态 机 。 每 
个 状态 与 标记 为 “时 基 系 统 ” (time-based system， 即 基于 时 间 的 系统 ) 的 状态 精 化 相关 联 。 
状态 精 化 定义 了 输出 的 动态 行为 和 (可 能 ) 附加 的 连续 状态 变量 。 另 外 ， 每 个 迁移 可 以 选择 
性 地 指定 设置 动作 (set action)， 其 在 迁移 发 生 时 设置 这 些 附 加 状态 变量 的 值 。 图 4-3 中 的 例 
子 是 相当 简单 的 ， 其 既 没 有 连续 状态 变量 ， 也 没有 输出 动作 和 设置 动作 。 
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混合 系统 有 时 被 称 为 模 态 模型 ( modal model)。 这 是 因为 它 有 有 限 个 模式 (mode), 44 
个 模式 都 对 应 于 有 限 状态 机 的 一 个 状态 ， 而 且 当 
在 模式 中 时 ， 它 具有 由 状态 精 化 所 指定 的 动态 性 。 
有 限 状 态 机 的 状态 被 称 为 模式 而 不 是 状态 ， 以 避 





免 与 精 化 的 状态 相 混 消 。 
除了 示例 4.2 中 相当 平凡 的 常量 输出 之 外 ， 还 ae 
可 以 在 接 下 来 讨论 的 时 间 自 动机 中 看 到 另 一 个 非 setaction "Set action 
常 简单 的 动态 性 。 Dias et 
4 有 2 混 合 系 统 分 类 4 guard / output p 


Eta aa 





混合 系统 可 能 是 非常 复杂 的 。 在 本 节 中 ,我 


们 首先 阐述 一 个 相对 简单 的 称 之 为 时 间 自 动机 的 ant oat 
混合 系统 形式 。 然 后 ， 再 介绍 几 个 对 非 平凡 物理 

动态 性 和 非 平 凡 控 制 系统 进行 建 模 的 几 个 更 为 复 图 4.4 混合 系统 符号 

杂 的 形式 。 


4.2.1 时间 自动 机 


大 多 数 信息 物理 融合 系统 要 求 测量 时 间 的 推移 ， 并 在 特定 时 间 执 行动 作 。 时 钟 〈clock) 
是 测量 时 间 变 化 的 装置 ， 具 有 非常 简单 的 动态 性 : 其 状态 随时 间 线 性 推进 。 在 本 节 ， 我 们 讨 
论 由 Alur 和 Dill (1994) 引入 的 时 间 自 动机 (timed automata) 这 一 形式 化 机 制 ， 使 得 基于 
上 述 简单 的 时 钟 来 构建 更 为 复杂 的 系统 成 为 可 能 。 

时 间 自 动机 是 最 简单 的 非 平凡 混合 系统 ， 也 是 基于 时 间 精 化 的 模 态 模型 ， 具 有 非常 简单 
的 动态 性 ， 且 只 是 对 时 间 的 流逝 进行 测量 。 基 于 一 阶 微分 方程 ， 一 个 时 钟 可 以 被 建 模 为 如 下 
形式 。 

Vté T,, s()=a 

HEt, s: ROR PA EERE, s(t) 是 1 时 刻 的 时 钟 值 ，T,, CR 是 混合 系统 处 

于 模式 m 时 的 时 间 子 集 。 当 系统 处 于 该 模式 时 ， 时 钟 速率 a 是 一 个 常量 9 。 


GID 四 质 一 下 示例 4.1 中 的 恒温 器 ， 其 使 用 迟 沿 机 制 来 防止 持 动 。 下 面 一 个 可 防 
止 抖 动 的 替代 实现 中 使 用 了 单个 温度 国 值 ， 无 论 温度 是 多 少 都 要 求 加 热 器 在 一 个 最 小 时 间 段 里 
保持 打开 或 关闭 。 这 个 设计 尽管 没有 迟滞 特性 ， 仍 是 可 用 的 。 这 可 以 被 建 模 为 图 4-5$ 所 示 的 时 
间 自 动机 。 在 该 图 中 ,每 一 个 状态 精 化 都 有 一 个 时 钟 ， 其 是 一 个 具有 如 下 动态 性 的 连续 信号 so 

s=] 

sA 的 值 随 着 上 线性 增加 。 请 注意 ， 图 中 状态 精 化 被 直接 表示 为 状态 圆 泡 图 标 中 的 状态 
名 称 。 当 精 化 相对 简单 时 ， 简 写 就 很 方便 。 

如 我 们 对 扩展 状态 机 所 做 的 那样 ， 使 用 符号 “ :=” 来 强调 这 是 一 个 赋值 ， 而 不 是 谓词 。 

该 处 理 确保 在 恒温 器 启动 时 ， 如 果 温 度 z(t) 低 于 或 等 于 20%C ， EW Ast Bi He el heating 并 
式 。 另 外 ， 两 个 迁移 都 有 将 复位 时 钟 s 复 位 为 0 的 设置 动作 。 指 定 s(D 三 T 的 监督 条 件 保 


O 本 章 中 我 们 所 讨论 的 时 间 自 动机 变 体 与 Alur 和 Dill 的 原 有 模型 不 同 ， 其 不 同 模式 中 的 时 钟 速率 可 以 不 同 。 
这 个 变 体 有 时 被 称 为 多 速率 时 间 自 动机 。 
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证 加 热 器 将 持续 打开 至 少 7 时间 ， 而 指定 s(1) 宇 工 的 监督 条 件 则 可 保证 一 旦 加 热 器 关闭 ， 
它 将 保持 关闭 至 少 工 时间。 

图 4-6 给 出 了 该 时 间 自 动机 的 一 个 可 能 执行 。 图 中 ， 我 们 假设 初始 温度 高 于 OCHRE 
点 ， 因 此 ， 有 限 状 态 机 保持 在 cooling 状态 直到 温度 下 降 到 20 以下。 在 ti 时刻， 它 会 因为 
5(0)> 开 而 立即 启动 一 个 迁移 。 该 迁移 将 8 重 置 为 0 并 打开 加 热 器 。 假 设 加 热 器 打开 时 温度 
只 会 上 上升， 那么 加 热 器 将 保持 至 (tT) HA. Æ (+T) 时 刻 ， 它 将 迁移 回 cooling 状态 并 关 
闭 加 热 器 (我 们 在 这 里 假设 一 旦 迁移 被 激活 就 立即 进行 迁移 。 其 他 迁移 语义 是 可 能 的 )。 恒 
温 器 将 进行 制冷 直至 至 少 下 时 间 ， 且 直到 温度 下 降 到 20% 以 下 ， 此 时 才 会 再 次 打开 加 热 器 。 


=T: 
xt) > WASHES 


s(t) :=0 
cooling 女 “(heating 
A(t) =0 h(t)= 1 
s(t)=1 I rls()=1 
aut) < WASNT, 
s(t) := 





图 4-5 时间 自 动机 模型 COR REA ( 20Y ) 及 各 模式 中 最 小 时 间 TA T, 的 恒温 器 ) 


在 之 前 的 例子 中 ， 系 统 在 任意 时 间 的 状态 


T(t) 
不 仅 包 括 heating % # cooling 模式 ， 还 有 当前 


的 时 钟 值 s(t), RAIER s 为 连续 状态 (continuous Bi =t 
state) 变量 ， 而 heating 和 cooling 都 是 离散 状态 + T, 
(discrete state)。 为 此 ， 请 注意 ,“ 状 态 ” 一 词 对 hy) 

于 混合 系统 可 能 变 得 混 消 不 清 。 有 限 状态 机 拥有 | 

一 组 状态 ， 精 化 系统 (除非 它们 是 无 记忆 的 ) 也 yg ee 
是 如 此 。 当 有 可 能 出 现 混 淆 时 ， 我 们 就 明确 把 状 

态 机 的 状态 称 为 模式 。 5(D) 


模式 间 的 迁移 具有 与 之 关联 的 动作 。 有 时 ， 


T, 
从 一 个 模式 迁移 回 自身 是 有 用 的 ， 因 为 这 样 才 能 9 taz; 


实现 这 个 动作 。 下 一 个 例子 中 将 说 明 这 种 情况 ， RAR 
同时 展示 了 一 个 可 以 产生 纯 输 出 的 时 间 自 动机 。 和 i 


A; b) 为 输出 h; c) 为 精 化 状态 s 
GED 图 4.7 中 的 时 间 自动 机 产生 一 个 
纯 输 出 ， 系 统 开始 执行 后 ， 其 将 在 每 隔 了 时 间 单 元 都 是 存在 的 。 请 注意 ,迁移 上 的 监督 条 件 
s(t) 三 了 之 后 跟随 着 一 个 输出 动作 tick 以 及 一 个 设置 动作 s(t) : =0。 


图 4-7 给 出 了 另 一 种 符号 简写 ， 其 非常 适用 于 简单 的 逻辑 图 。 该 自动 机 被 直接 显示 在 其 
参 元 模型 的 图 标 内 。 
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s(t)=>T / tick 


s(t) :=0 





图 4-7 每 了 时 间 单 位 产生 一 个 纯 输 出 事件 的 时 间 自 动机 


GUE 因 3-10 中 的 交通 灯 控 制 器 是 一 个 假定 每 秒 响 应 一 次 的 时 间 触 发 状态 机 。 图 
4-8 给 出 了 具有 相同 行为 的 时 间 自 动机 。 其 关于 时 间 的 变化 更 为 清晰 ， 因 为 它 的 时 间 动态 性 
并 不 依赖 于 状态 机 何 时 做 出 响应 这 一 不 确定 假设 。 


连续 变量 : x(t): R 
输入 : pedestrian: pure 
输出 : sigR, sigG, sigY : pure 


green 
x(t) 三 60 / sigG x(t) =1 


x(t) :=0 pedestrian \ x(t) < 60 / 


red) pedestrian x(t) > 60 / sigY pending 
X(t) = x(t) :一 0 X(t) =1 


ai a | it ; 
- x(t) >5 / sigR yellow X(t) > 60 / sigY 


x(t) -=0 x(t) =1 x(t) :=0 


图 4-8 图 3-10 所 示 交 通 灯 控 制 器 的 时 间 自 动机 变 体 


4.2.2 高 阶 动态 性 


在 时 间 自 动机 中 ， 时 基 精 化 系统 中 所 发 生 的 仅 是 时 间 的 推移 。 然 而 ， 当 精 化 的 行为 更 为 
复杂 时 ， 混 合 系统 也 就 更 加 引 人 关 注 。 如 下 分 析 一 个 示例 。 


GED 考虑 图 4-9 KAEA AAEREN AEE 
或 者 拉 伸 ， 然 后 释放 。 这 些 圆 块 在 光滑 的 表面 振荡 。 如 果 它 们 碰撞 ， 它 们 将 黏 在 一 起 振荡 。 
一 段 时 间 后 ， 黏 性 减弱 ， 圆 块 再 次 分 开 。 

两 个 物体 的 位 移 图 是 时 间 的 函数 ， 如 图 4-9 所 示 。 两 个 弹 赞 被 压缩 后 ， 两 个 物体 开始 朝 
着 彼此 的 方向 移动 。 它 们 几乎 立即 发 生 碰撞 ， 然 后 ， 一 起 振荡 一 小 段 时 间 直 至 被 拉 开 。 该 图 
中 ， 它 们 又 碰撞 了 两 次 ， 几 乎 是 碰撞 了 三 次 。 

如 果 假定 采用 了 理想 的 弹 和 贫 ， 该 问题 的 物理 特性 就 非常 简单 。 令 yi () 表示 左 侧 物体 在 
1 时 间 的 右边 缘 位 置 ，y, (表示 右 侧 物体 在 上 时 刻 的 左边 缘 位 置 ， 如 图 4-9 所 示 。 再 令 局 与 
ps 分别 表示 两 个 物体 的 自然 平衡 位 置 ， 即 当 弹 簧 既 不 拉 伸 也 不 压缩 时 ， 此 时 弹力 为 0。 对 于 
理想 弹簧 ，! 时 刻 作 用 于 左边 和 右边 物体 的 弹力 分 别 与 位 移 piy (O 和 ps-y, (A) 的 值 成 比例 。 
向 右 的 弹力 为 正 ， 向 左 的 为 负 。 

令 弹 得 的 弹性 系数 分 别 为 和。 那么 ， 左边 弹 侦 上 的 弹力 就 等 于 p (0), mA 
边 弹簧 的 弹力 是 k (Pry (D)。 假 设 两 个 物体 的 质量 分 别 为 mi 和 m,， 那 么 ,我 们 就 可 以 使 


50 BED DETAR 


用 如 下 将 力 、 质 量 和 加 速度 关联 在 一 起 的 牛顿 第 二 定律 了 。 
f= ma 

加 速度 是 位 置 在 时 间 上 的 二 阶 导 数 ， 记 为 为 (0 和 了 坊 (D0)。 由 此 ， 只 要 两 个 物体 是 分 离 

的 ， 它 们 的 动态 特性 可 以 由 式 (4.1) HAR (4.2) 给 出 。 
Vi O=k py (Dm (4.1) 
Ýa (0 =k (pay (O)/m, (4.2) 

然而 ， 当 两 个 物体 碰撞 时 ， 情 况 就 会 发 生变 化 。 两 个 物体 黏 在 一 起 时 称 它 们 是 一 个 质量 
为 mtm 的 单个 物体 。 这 个 物体 被 两 个 弹 得 向 两 个 相反 方向 拉 。 当 两 个 物体 粘连 在 一 起 时 ， 
n=»). + (Dy, (DO= 轧 入， 则 可 得 到 如 式 〈4.3 ) 所 示 的 动力 学 方程 。 

(0 = kipi +k ps — (hk +k) yO 
m, +m, 

现在 可 以 容易 地 看 出 如 何 为 这 个 物理 系统 构建 一 个 混合 系统 模型 。 图 4-10 给 出 了 该 模 
型 。 其 拥有 两 个 模式 ，apart 和 togethers apart 模式 的 精 化 由 式 (4.1)、 式 (4.2 ) OH, m 
together 模式 的 精 化 则 由 式 (4.3) 给 

然而 ， 我 们 仍然 要 开展 对 迁移 的 标记 。 初 始 迁移 是 进入 apart 模式 ， 如 图 4-10 所 示 ， 即 
我 们 假设 两 个 物体 是 分 离 的 。 另 外 ， 使 用 一 个 设置 动作 来 标记 迁移 ， 该 动作 设置 两 个 物体 的 
初始 位 置 分 别 为 ii 和 i,， 初 始 速 度 为 0。 

从 apart 到 together 模式 的 迁移 具有 如 下 监督 条 件 。 

yı (D=y, ($) : 

该 迁移 有 一 个 设置 动作 ， 其 给 两 个 连续 状态 变量 y(t) 与 YD) 赋值 ， 这 表示 两 个 黏 在 一 起 
的 物体 的 运动 。 赋 给 y(t) 的 值 保 存 了 动量 ， 其 中 左 侧 物体 的 动量 为 (bmi， 右 侧 物体 的 动量 
AYA) m2， 粘 连 物体 的 动量 为 J(D)(mitms)。 为 了 使 这 些 量 相等 ， 我 们 给 出 如 下 方程 。 


(4.3) 


Jim, +y, (t)m, 

m +m, 

together 模式 的 精 化 给 出 了 yy 的 动态 特性 且 简 单 地 设置 yy A= (t)， 这 是 因为 两 个 物 
体 一 起 移动 。 从 apart 到 together 模式 的 迁移 设置 y(1) 等 于 yi (O (或 者 y(t)， 它 们 是 相等 的 )。 

从 together 到 apart 模式 的 迁移 具有 如 下 更 为 复杂 的 监督 条 件 。 其 中 ，s 表示 两 个 物体 的 
黏合 力 。 


H(t) = 


(k,-k, ) W(t) + ky pki py > s 
当 右 侧 物体 上 的 向 右 拉 力 与 左 侧 物体 上 的 向 右 拉力 的 差 值 大 于 黏合 力 时 ， 这 个 监督 条 件 
被 满足 。 右 侧 物体 上 的 右 拉力 与 左 侧 物体 上 的 右 拉力 分 别 为 如 下 形式 。 
f (=k (Px) 
fi O=k (Px) 
由 此 可 得 如 下 方程 ， 当 这 个 力 超过 黏合 力 s 时 ， 两 个 物体 分 离 。 
AO- fi (0 = (kik) yD + kpk p, 
习题 11 中 讨论 了 对 本 例 together 模式 的 一 个 修改 ， 即 将 黏合 力 初 始 化 为 一 个 初始 值 ， 
但 之 后 根据 如 下 微分 方程 衰减 。 
5(t)=—as(t) 
其 中 ，s(D 是 上 时 刻 的 黏合 力 ，a 是 某 个 正 数 常量 。 实 际 上 ， 这 正 是 图 49 中 所 绘制 的 这 
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一 细 化 模型 的 动态 性 。 
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图 4-9 示例 4.6 中 的 黏 性 物体 系统 










StickyMasses y(t) = y(t) 
y(t) := yı (t) 
y(t) := (Yı (Dm +y2(t)m2)/ (mi + mz) yı(t) 



























ya(0) gee E y(t) + Rapa kip y2(t) 
¥1(0) =0 tt = 
‘ Ge yalt) := y(t 
UATE a=) 
alt) = (0) 









_ kipı +kəp — (kı +ha)y(0) 










ïı(t) =ki (pi — yı (t))/mı 






mı +m2 
¥2(t) = ka(p2 — y2 (t))/m yı(t) =y(t) 
y2(t) = y(t) 





图 4-10 示例 4.6 中 黏 性 物体 系统 的 混合 系统 模型 
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如 示例 4.4 所 示 ， 有 时 只 有 一 个 状态 的 混合 系统 模型 是 有 用 的 。 一 个 或 多 个 状态 迁移 上 
的 动作 定义 了 与 时 基 行 为 结合 的 离散 事件 行为 。 


示例 4.7 考虑 一 个 弹跳 球 (BouncingBall) 的 例子 。 在 三 0 时 刻 ， 球 从 高 度 y(0)=h。 自 
由 落体 掉 落 ， 其 中 和 如 是 单位 为 米 的 初始 高 度 。 在 之 后 的 某 个 时 刻 t1， 球 以 pms) 的 速度 
撞击 地 面 。 当 球 撞 击 地 面 时 ， 产 生 一 个 bump 事件 。 碰 撞 是 非 弹 性 的 (意味 着 动能 损失 )， 之 
后 球 以 速度 -ay(ti) 弹 起 ， 其 中 & 是 常数 且 0<a<1。 之 后 ,， 球 将 反复 地 上 升 到 一 个 高 度 并 掉 
落 到 地 面 。 

通过 图 4-11 所 示 的 混合 系统 可 以 描述 这 个 弹跳 球 的 行为 。 这 里 仅 有 一 个 模式 ， 称 为 
free。 当 球 不 与 地 面 接触 时 ， 我 们 知道 球 的 运动 将 遵守 式 (4.4) 所 示 的 二 阶 微分 方程 。 其 
中 ，g=9.81(m/s”) 是 重力 产生 的 加 速度 。 


(A=—g (4.4) 


y(t) 
BouncingBall 
y(t) =0/ bump sabi t 


y(t) := —ay(t) 


i h 





free 
y(0):=ho O= -8 y(t) 


y(0) :=0 





图 4-11 弹跳 球 的 运动 可 以 被 描述 为 只 有 一 个 模式 的 混合 系统 (每 次 球 撞击 地 面 时 系统 输出 
bump， 并 输出 球 的 位 置 。 右 侧 图 给 出 了 随时 间 变 化 的 位 置 与 速度 ) 


_| y(t) 
soir 


其 初 值 为 y(0)=ho 且 y(0)=0。 之 后 ， 对 一 个 选择 恰当 的 函数 /， 将 式 (4.4) 重 写 为 式 

(4.5) 所 示 的 一 阶 微分 方程 就 很 简单 了 。 
s(D)=s(D)) (4.5) 

在 时 刻 {=ti( 当 球 第 一 次 撞击 地 面 时 )， 监 督 条 件 y(t)=0 被 满足 ， 且 采取 自 循环 迁移 。 接 
着 ,产生 输出 bump, Lik BH te y():=-av() 将 y(t) 改变 为 -ay(t)。 然 后 ， 式 (4.4) 再 次 成 
立 直 到 该 监督 条 件 再 次 为 true。 

结合 所 得 到 的 式 (4.4 )， 对 于 所 有 t E (0, t/)， 有 如 下 方程 关系 。 

y(t=-gt 


free 模式 的 连续 状态 变量 如 下 : 


vO= v0)+ | indr =h -Dgr 
由 此 ，1>0 是 由 y(4)=0 确定 的 。 其 是 以 下 方程 的 解 : 


1 2 
~—gt? =0 
h- 58 
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由 此 可 得 出 4 的 解 如 下 : 
t =V2h/g 
图 4-11 绘制 了 该 连续 状态 在 时 间 上 的 变化 。 


上 述 弹跳 球 示例 有 一 个 值得 关注 的 难题 ， 这 将 在 习题 10 中 进行 探讨 。 特 别 地 ， 随 着 时 
间 增 加 ， 两 次 弹跳 之 间 的 时 间 间 隔 将 越 来 越 小 。 事 实 上 ， 时 间 间 隔 变 得 越 小 ， 将 会 在 有 限 的 
时 间 内 发 生 无 数 次 足够 快 的 弹跳 。 在 有 限时 间 内 具有 无 数 离散 事件 的 系统 被 称 为 齐 诺 系 统 
(Zeno system)， 其 以 苏 格 拉 底 之 前 的 硕 腊 哲 学 家 Zeno of Elea 的 名 字 命名 (Zeno 以 他 提出 的 
悖 论 而 闻名 于 世 )。 当 然 ， 在 物理 世界 中 ， 球 最 终 会 停止 弹跳 ， 而 齐 诺 行 为 只 是 一 个 人 造 模 
型 。 习 题 13 给 出 了 另 一 个 齐 诺 混 合 系统 的 例子 。 


4.2.3 监督 控制 


一 个 控制 系统 包括 了 四 个 组 件 : 一 个 称 为 装置 (plant) 的 系统 ， 是 被 控制 的 物理 进程 ; 
装置 运行 的 环境 ; 对 装置 和 环境 变量 进行 测量 的 一 组 传感器 ; 确定 模式 迁移 结构 并 选择 装 
置 时 基 输 入 的 控制 器 。 控 制 器 分 为 两 个 层次 ， 即 决定 模式 迁移 结构 的 监督 控制 ( supervisory 
control)， 以 及 用 以 确定 装置 时 基 输 入 的 底层 控制 (low-level control)。 显 然 ， 监 督 控 制 器 决 
定 应 该 遵循 策略 中 的 哪 一 个 ， 进 而 由 底层 控制 器 实现 所 选择 的 策略 。 混 合 系统 对 于 建 模 这 样 
的 两 层 控制 器 来 说 是 一 个 理想 的 方式 。 我 们 通过 一 个 详细 的 示例 来 说 明 如 何 实施 。 


GI 考 卡 一 个 沿 着 仓库 或 工厂 地 面 封闭 轨道 移动 的 自动 引导 车 ( Automated 
Guided Vehicle，AGV)。 我 们 将 设计 一 个 控制 器 使 车 辆 紧 跟 轨道 。 

该 类 车 辆 有 两 个 自由 度 。 在 任何 时 间 t， 车辆 可 以 治 着 它 的 车 身 轴 以 速度 xn 
(0 < u(t) < 10mph (英里 每 小 时 )) 向 前 行驶 。 车 辆 也 可 以 以 角速度 w(t) (n< oft) <a Hh 
度 每 秒 ) 绕 其 重心 旋转 。 我 们 忽略 车 辆 的 惯性 ， 由 此 假设 我 们 可 以 瞬时 改变 速度 或 角速度 。 

A (x(t), xD) E R 是 相对 于 某 个 固定 坐标 系 的 位 置 ， 且 (1) E (ar 是 1 时 刻 的 车 辆 
角度 (以 弧度 为 单位 )， 如 图 4-12 所 示 。 在 这 个 坐标 系 中 ， 车 辆 的 运动 可 以 由 式 (4.6) 给 出 
的 微分 方程 组 来 表示 。 


x(t) =u(t)cos A(t) 
V(t) = u(t)sin A(t) (4.6) 
A(t) = a(t) 


RK (4.6) 中 的 方程 表示 了 这 个 装置 的 运动 特性 。 环 境 是 绘制 的 封闭 轨道 ， 其 可 以 被 
描述 为 一 个 方程 ， 以 下 通过 传感器 对 其 进行 间接 描述 。 

该 两 层 控 制 器 基于 一 个 简单 的 思想 进行 设计 。 车 辆 通常 以 其 最 大 速度 10mph 行驶 。 如 
果 车 辆 向 左 偏离 轨道 过 多 ， 控 制 器 控制 其 向 右 ; 如 果 车 辆 向 右 偏离 轨道 过 多 ， 控 制 器 则 控制 
其 向 左 。 如 果 车 辆 靠近 轨道 ， 控 制 器 使 车 辆 保持 直行 。 由 此 ， 控 制 器 在 left、right、straight 
及 stop 等 四 个 模式 中 导 引 车 辆 。 在 stop 模式 中 ， 车 辆 停车 。 

如 下 微分 方程 给 出 了 车 辆 在 四 个 模式 的 精 化 中 的 运动 。 它 们 描述 了 底层 控制 器 ， 即 在 每 
个 模式 中 时 基 装 置 输入 的 选择 等 。 


54 PRD mR AR: 


VO) 





x(0) 
图 4-12 示例 4.8 自动 引导 车 〈 该 车 沿 着 绘制 的 弯曲 轨道 行驶 ， 并 已 经 从 轨道 偏离 e(D 距离 。1 
时 刻 车 辆 在 全 局 坐标 系 中 的 坐标 为 EO, yA, 9(D)) 


straight: 
x(t) = 10cosO(t) 
y(t) = 10sinA(t) 
A(t) = 0 
left: 
x(t) = 10cosO(t) 
y(t) = 10sinA(t) 
A(t) =n 
right: 
x(t) = 10cosO(t) 
y(t) = 10sinO(t) 
@(t) = -r 
stop: 
x(t) =0 
MD) = 0 
At) =0 
在 stop 模式 中 ， 和 车 辆 停止 ， 由 此 x(t)、y(t)、0(t) 都 为 常量 。 在 left RARP, O) A nI 
度 每 秒 的 速率 增加 ， 因 此 从 图 4-12 可 以 看 到 车 辆 向 左 移动 。 在 right 模式 中 ， 车 辆 向 右 移 
动 。 在 straight 模式 中 , OO) 是 常量 ， 车 辆 以 恒定 的 方向 向 前 移动 。 四 个 模式 的 精 化 如 图 4-13 
中 的 方 框 所 示 。 
我 们 设计 监督 控制 来 控制 模式 之 间 的 转换 ， 以 使 得 车 辆 紧密 跟随 轨道 。 首 先 ， 使 用 传 感 
器 来 确定 车 辆 向 左 或 向 右 偏 离 轨 道 的 程度 ， 这 里 可 以 使 用 光敏 二 极 管 来 构造 这 样 一 个 传 感 
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器 。 假 设 轨道 是 由 反光 颜料 绘制 的 ， 从 而 地 板 相 对 较 暗 。 在 车 辆 的 下 方 我 们 部 署 一 个 如 图 
4-14 所 示 的 光敏 二 极 管 阵列 。 该 阵列 与 车 身 轴 垂直 。 在 车 辆 沿 轨道 行驶 的 过 程 中 ， 轨 道 正 
上 方 的 二 极 管 较 其 他 位 置 的 二 极 管 可 以 产生 更 大 的 电流 。 通 过 比较 不 同 二 极 管 的 电流 大 小 ， 
传感器 就 能 评估 出 阵列 中 心 ( 即 车 辆 中 心 ) 偏离 轨道 的 位 移 e(D)， 也 可 称 为 偏 移 量 。 依 照 惯 
例 ，e(D)<0 表示 车 辆 偏向 了 轨道 的 右 侧 ， 而 e(D>0 则 表示 其 偏向 了 左 侧 。 我 们 将 该 传感器 的 
输出 建 模 为 车 辆 位 置 的 函数 矿 
Vt, e(t) = fx(D), WO) 
10cos a(t) c = 10cos a(t) 


10sin 8(7) ý 10sing(t) 
一 —T 0 


= f(x(D),y(D) 


astop \e(t) >& 


astop A |e(t)| < & 


Vehicle 


10cos @(2) 
10sin a) 
T 


= f(t), y(t) 








图 4-14 车 身 下 方 的 光敏 二 极 管 阵列 被 用 来 估算 车 辆 偏离 车 道 的 程度 e， 车 道 正 上 方 的 二 极 管 
产生 更 大 电流 


56 PIED BAT ABH 


GA, BASKET, We, MERNEAHKEKP EEE REARS A 
fi, O<e,<e,, MA 4-14 所 示 。 如 果 偏 移 量 很 小 ，|e(D|<si， 我 们 认为 车 辆 离 轨道 足够 近 ， 而 
且 车 辆 可 以 向 前 直行 ， 处 于 straight 模式 中 。 如 果 eA |>s,， 车 辆 向 左 偏离 过 多 ， 且 必须 向 
右 调 整 ， 要 切换 到 right 模式 。 如 果 |e(D Ke (e(D 很 大 且 为 负 )， 车 辆 向 右 偏 离 过 多 ， 人 必须 
切换 到 left 模式 以 向 左 调整 。 这 个 控制 逻辑 被 刻画 为 图 4-13 中 的 模式 转换 。 输 入 是 纯 信号 
stop 和 start， 模 拟 了 可 以 停止 或 启动 车 辆 的 操作 ， 且 不 存在 时 间 连 续 输入 。 输 出 x(t) 和 J(D 
表示 了 车 辆 的 位 置 。 初 始 模式 为 stop， 其 精 
化 的 初始 值 为 (X0,¥ 0290) 0 

现在 我 们 来 分 析 一 下 车 辆 的 运动 。 图 
4-15 画 出 了 一 条 可 能 的 轨迹 。 初 始 时 ， 车 辆 
距离 轨道 的 距离 为 5 ， 因 此 其 保持 直行 。 一 
段 时 间 之 后 ， 车 辆 向 左 偏离 过 多 ， 此 时 如 下 igh 
监督 条 件 为 真 ， 切 换 到 模式 right。 

= stop 人 e(t)>e, 

再 过 一 段 时 间 ， 车 辆 再 一 次 足够 地 接近 | 
轨道 ， 有 如 下 监督 条 件 成 立 ， 此 时 切换 到 模 
式 straight。 




















~ stop 人 le(Dl<e, X 
又 过 一 段 时 间 之 后 ， 车 辆 向 右 偏 离 车 道 
过 多 了 ， 如 下 监督 条 件 成 立 ， 此 时 又 切换 到 图 4.15 标注 了 模式 的 车 辆 轨迹 
left 模式 ， 以 此 类 推 。 


= stop 人 e(t)<-€, 


这 个 例子 阐明 了 控制 系统 的 四 个 组 件 。 装 置 是 由 式 (4.6) 所 示 的 微分 方程 来 描述 的 ， 这 
些 方程 根据 装置 输入 x& 和 w 来 决定 1 时 刻 连续 状态 即 (x(0), y(t), 0(0) 的 演化 。 第 二 个 组 件 是 
环境 ， 即 封闭 的 轨道 。 第 三 个 组 件 是 传感器 ， 其 1 时 刻 的 输出 e(D=Kx(D, yA) 给 出 了 车 辆 相 
对 于 轨道 的 位 置 。 第 四 个 组 件 是 一 个 两 层 的 控制 器 。 监 督 控制 器 由 四 个 模式 和 决定 模式 间 切 
换 的 监督 条 件 组 成 。 底 层 控制 器 指定 在 每 个 模式 中 如 何 选择 装置 的 时 基 输 入 wx 和 w。 
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混合 系统 为 基于 时 间 的 模型 和 状态 机 模型 的 融合 搭建 了 桥梁 ， 这 两 类 模型 的 组 合 为 描述 
真实 世界 的 系统 提供 了 丰富 的 模型 框架 。 这 里 有 两 个 关键 思想 : 一 是 ， 离 散 事 件 (状态 机 中 
的 状态 改变 ) 被 蔡 入 一 个 时 基 ; 二 是 ， 分 层 描 述 非常 有 用 ， 系 统 可 以 在 不 同 的 操作 模式 之 间 
进行 离散 的 迁移 。 与 每 一 个 操作 模式 相关 联 的 是 一 个 基于 时 间 的 系统 ， 被 称 为 模式 的 精 化 。 
当 指定 输入 与 连续 状态 组 合 的 监督 条 件 被 满足 时 ， 就 会 进行 模式 迁移 ， 与 迁移 关联 的 动作 则 
顺序 地 设置 目标 模式 中 的 连续 状态 。 

使 用 工具 可 以 更 好 地 理解 混合 系统 的 行为 ， 如 用 于 模式 迁移 的 状态 机 分 析 工 具 、 用 于 精 
化 系统 的 时 基 分 析 工 具 。 类 似 地 ， 混 合 系统 的 设计 也 在 两 个 层级 上 进行 : 设计 状态 机 来 实现 
合适 的 模式 迁移 逻辑 ， 而 设计 连续 的 精 化 系统 来 保证 每 个 模式 中 期 望 的 时 基 行 为 。 
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习题 

1.( 纸 上 完成 即 可 ) 构建 一 个 与 图 4-7 类 似 的 时 间 自 动机 ， 其 在 1, 2, 3, 5, 6, 7, 8, 10, 11, … 时 刻 产 生 
tick。 也 就 是 说 ， 当 两 次 之 间 的 时 间 间 隔 为 1 秒 时 产生 三 次 节拍 (tick), [eI BRON 2 秒 时 产生 1 次 
节拍 。 

2. 本 题 的 目标 是 更 好 地 理解 时 间 自 动机 ， 请 按 要 求 进行 修改 。 
(a) 对 于 如 下 所 示 的 时 间 自 动机 ， 描 述 输 出 y， 请 避免 不 准确 或 粗心 的 标号 。 


连续 变量 :r,s CR 
输出 :ye 民 s(0) :=0 


r(t)=1/y:=s(t)  r(0):=0 





(b) 假定 有 一 个 新 的 纯 输 入 reset， 且 当 该 输入 存在 时 ， 混 合 系统 重新 开始 ， 表 现 得 就 像 再 次 从 0 时 
刻 开始 一 样 。 结 合 (a) 部 分 的 设计 ， 修 改 该 混合 系统 以 实现 这 一 要 求 。 
.在 第 2 章 的 习题 6 中， 我 们 考虑 了 一 个 由 输入 电压 控制 的 直流 电机 。 实 际 上 ， 采 用 不 同 的 电压 来 
控制 电机 通常 是 不 现实 的 ， 因 为 这 需要 可 以 支持 大 功率 的 模拟 电路 。 相 反 ， 常 见 的 是 采用 固定 电 
压 ， 但 是 要 定期 地 打开 、 关 闭 开 关 以 改变 输送 到 电机 的 功率 ， 这 种 技术 被 称 为 脉冲 宽度 调制 (Pulse 
Width Modulation, PWM). 
构造 一 个 为 第 2 章 习 题 6 的 电机 模型 提供 电压 输入 的 时 间 自 动机 。 该 混合 系统 应 该 假设 PWM 
电路 输送 一 个 占 空 比 在 0 与 100% (包含 在 内 ) 之 间 的 25kHz 的 方 波 。 混 合 系统 的 输入 应 该 是 该 占 空 
比 ， 输 出 应 该 是 电压 。 
. 给 定 如 下 时 间 自 动机 : 


Ww 


> 


JERR: s ER 
输入 :a : pure 
输出 :5 :pure  avs(t)=1/ 


[o -" s(t) :=0 


sl 
s(t) =1 


s(t)=1 / b 
s(t) :=0 





假设 输入 信号 a Alb 是 离散 的 时 间 连 续 信 号 ， 即 每 一 个 输入 可 以 以 a : R—- {present, absent} 
形式 的 函数 给 出 ， 在 几乎 所 有 的 时 间 t © R, A a(t)=absent。 假 设 状态 机 在 每 一 个 时 刻 t 只 能 进行 
至 多 一 个 迁移 ， 且 状态 机 从 0 时 刻 开始 执行 。 
(a) 如 果 输 入 a 仅 在 如 下 时 间 出 现 ， 请 给 出 输出 5。 至 少 包括 时 间 =0 到 =5., 

t=0.75, 1.5, 2.25, 3, 3.75, 4.5, 55< 

(b) 如 果 输 入 a 仅 在 时 刻 =0, 1, 2,3, … 出 现 ， 请 给 出 输出 bo 
(c) 假定 输入 a 可 以 是 任何 离散 信和 号， 请 找 出 事件 5b 之 间 时 间 间 隔 的 下 限 。 达 到 该 下 限 的 输入 信号 a 

是 什么 (如果 存在 的 话 ) ? 
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. 有 一 个 产生 纯音 的 模拟 信号 源 ， 可 以 通过 输入 事件 on 或 of 来 打开 或 关闭 该 信号 源 。 请 构建 一 个 提 
Ht on 和 o 六 信号 作为 输出 的 时 间 自 动机 ， 该 输出 连接 到 音频 发 生 器 的 输入 端 。 该 系统 应 该 按 如 下 方 
式 运 行 : 在 接收 一 个 输入 事件 ring 时 ， 它 将 产生 一 个 长 达 80ms 的 声音 ， 其 包括 由 两 个 10ms 静音 
所 间隔 的 三 个 20ms 的 纯 爆 破 音 。 如 果 该 系统 接收 到 两 个 间隔 50ms 的 ring 事件 ， 系 统 如 何 运 行 ? 
6. 现今 的 汽车 具有 如 下 特性 ， 请 将 每 个 特性 实现 为 一 个 时 间 自 动机 。 
(a) 一 旦 任何 一 个 车 门 被 打开 ,顶灯 就 被 打开 。 在 所 有 车 门 都 关闭 后 ， 顶 灯 保 持 30s。 请 问 需要 哪些 
传感器 ? 
(b) 一 且 汽 车 启动 ， 如 果 有 未 系 好 安全 带 的 乘客 ， 蜂 鸣 器 发 出 声音 且 亮 起 一 个 红 灯 进 行 报警 。30s 之 
后 或 者 只 要 安全 带 被 系 上 ， 蜂 鸣 器 就 会 停止 声音 ， 具 体 要 看 哪 一 个 先 发 生 。 报 警 灯 在 安全 带 未 
系 好 时 常 亮 。 提 示 : 假设 点 火 装置 打开 且 一 位 乘客 未 系 好 安全 带 ， 传 感 器 提供 一 个 warn 事件 。 
进而 假设 当 一 个 乘客 离开 座位 或 者 安全 带 系 好 或 者 点 火 装置 关闭 时 ， 传 感 器 提供 一 个 noWarn 
事件 。 
.一 个 可 编程 恒温 器 允许 选择 4 个 时 间 , 0 < 7, ST, SS 7,<24 (24 小 时 周期 ) 以 及 相应 的 设置 点 
温度 ay, …, a4。 构建 一 个 向 加 热 系 统 控制 器 发 送 事件 a, 的 时 间 自 动机 。 控 制 器 保持 温度 接近 于 a, 直 
到 其 接收 到 下 一 个 事件 。 请 问 共 需要 多 少 定 时 器 和 模式 ? 
. 考虑 如 下 所 示 的 时 间 自 动机 。 


vn 


N 


oo 


连续 变量 :s € 民 
和 输出: a : pure 





假设 t 和 4 是 正 实数 ,请 问 事件 a 之 间 的 最 小 时 间 间 隔 是 多 少 ? 也 就 是 说 两 次 信号 a 存在 的 时 
间 之 间 ， 可 能 的 最 小 时 间 是 多 少 ? 
图 4-16 给 出 了 两 条 单车 道 的 交叉 路 口 ， 一 条 为 主干 道 (Main)， 另 一 条 为 次 干道 (Secondary)。 每 
条 道路 上 的 交通 灯 控 制 其 交通 流 。 每 个 交通 灯 都 运行 于 红 灯 (R), BRAT (G) 和 黄 灯 CY) 的 循环 中 。 
一 个 安全 性 的 要 求 是 : 当 一 个 灯 在 绿色 或 黄色 状态 时 ， 另 外 一 个 为 红色 状态 。 黄 灯 的 灯 时 长 度 通常 
为 Ss。 


ad 


图 4-16 ”交通 灯 控 制 主干 道 与 次 干道 的 交叉 路 口 〈 一 个 传感器 感知 车 辆 何 时 通过 交叉 路 口 ; 一 
个 灯 的 红 灯 状 态 必须 与 其 他 灯 的 绿灯 及 黄 灯 状态 同时 发 生 ) 


交通 灯 以 如 下 方式 运行 : 次 干道 上 的 传感器 检测 车 辆 ; 如 果 没 有 检测 到 车 辆 ， 主 干道 上 的 交通 
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灯 有 一 个 长 达 4min 的 循环 ， 即 3min 绿灯 、5s 黄 灯 以 及 55s 红 灯 ， 而 次 干道 的 交通 灯 则 是 3min5s 
的 红 灯 (这 5s 期 间 主 干道 是 绿灯 及 黄 灯 )，50s 绿灯 ， 然 后 是 5s 的 黄 灯 。 

如 果 次 干道 上 检测 到 车 辆 ， 交 通 灯会 快速 地 给 予 次 干道 通行 权 。 当 这 种 情况 发 生 时 ， 主 干道 上 
的 交通 灯 取 消 其 绿灯 并 立即 切换 到 Ss 的 黄 灯 阶段 。 如 果 在 主 交 通 灯 为 黄 灯 或 红 灯 时 检测 到 车 辆 ， 系 
统 就 像 没有 车 辆 到 达 时 那样 继续 运行 。 

设计 一 个 控制 这 些 交 通 灯 的 混合 系统 。 让 该 混合 系统 具有 六 个 纯 输 入 ， 每 个 灯 一 个 : mG. mY 
和 mR 分别 用 于 指定 主 交 通 灯 状态 为 绿灯 、 黄 灯 或 红 灯 ，sG、sY 和 sR 分 别 设置 次 交通 灯 为 绿灯 、 
黄 灯 或 者 红 灯 。 输 出 相应 的 信号 就 可 以 开启 相应 的 信号 灯 。 这 里 假设 当 一 个 信号灯 被 打开 ， 任 何其 
他 已 被 打开 的 信号 灯 就 必须 被 关闭 。 

10. 对 于 示例 4.7 中 的 弹跳 球 ， 令 1, 是 球 第 n 次 撞击 地 面 的 时 刻 ， 同 时 令 w=y() 为 该 时 刻 的 速度 。 
(a) 找 出 ws 与 ww (n>1 ) 之 间 的 关系 ， 然 后 根据 ww 来 计算 w。 
(b) 根据 ww 和 <& 计 算 w。 据 此 说 明 弹 跳 球 是 一 个 齐 诺 系统 。 提 示 : 等 比 数列 恒等式 (geometric 

series identity) 可 能 是 有 用 的 ， 对 于 \bI<1, A 


im 
a =F 
(c) 计算 连续 碰撞 后 弹跳 球 可 以 达到 的 最 大 高 度 。 
11. 修改 图 4-10 中 的 混合 系统 模型 ， 以 便于 在 处 于 together 模式 时 ， 黏 合力 以 如 下 微分 方程 衰减 。 
s(t) = —as(t) 


HP, (A 是 上 时 刻 的 黏合 力 ,& 是 某 个 正 数 常量 。 在 转 LU’ 

和 人 该 模式 的 迁移 上 ， 黏 合力 应 该 被 初始 化 为 某 个 初始 的 黏合 力 gy 

{fi b. f 交易 

12. 证 明 图 4-13 中 ， 当 自动 引导 车 处 于 left 模式 或 right 模式 时 ， 车 
辆 的 轨迹 是 圆 形 的 。 进 而 ,该 圆 的 半径 是 多 少 ? 完整 地 绕 圆 运 
动 一 周 需 要 多 长 时 间 ? 

13. 图 4-17 描述 了 一 个 由 两 个 水 箱 组 成 的 系统 。 每 个 水 箱 以 一 个 恒 
定 速度 排水 ， 同 时 通过 一 根 软 管 以 恒定 速度 向 水 箱 注水 ， 且 在 
任意 时 刻 该 软 管 给 两 个 水 箱 中 的 茶 一 个 注水 。 假 设 软 管 可 以 在 图 4.17 水 箱 系 统 
两 个 水 箱 之 间 瞬 时 切换 。 

MIE {1,2}, 令 x 表 示 水 箱 i 的 容量 ，v>0 表示 从 水 箱 i 排 水 的 恒定 速度 。 令 w 表示 向 水 
箱 注 水 的 恒定 速度 。 系 统 的 运行 目标 是 使 两 个 水 箱 中 的 水 量 分 别 保持 在 x, 和 x+,， 和 且 假 设 初始 时 水 
量 分 别 高 于 ri 和 x,。 可 以 通过 一 个 控制 絮 来 实现 该 过 程 的 控制 ， 其 在 x (0 Sr, (1) 时 向 水 箱 1 注 
K, Æ x (t) < r (1) 时 向 水 箱 2 注水 。 

图 4-18 给 出 了 表示 该 两 水 箱 系统 的 混合 自动 机 。 





T1(0) rı Ax2(0)> r2 1 (0)> rı Az2(0)> r2 





图 4-18 水 箱 系统 的 混合 自动 机 


请 回答 以 下 问题 。 


(a) 在 Ptolemy II, LabVIEW 或 Simulink 中 构建 该 混合 自动 机 的 模型 。 使 用 如 下 参数 值 : m=”=0， 
v,=0,=0.5 H o=0.75。 设 置 初始 状态 为 (qi, (0,1)) (也 就 是 说 ， 初 始 值 x (0) WO Hx, (0) W1). 
请 验证 该 混合 自动 机 是 齐 诺 自动 机 。 其 齐 诺 行为 发 生 的 原因 是 什么 仿真 该 模型 并 画 出 x, 和 
x, 作为 时 间 + 的 函数 有 何不 同 ,仿真 足够 长 的 时 间 以 说 明 齐 诺 行为 。 

(b) 齐 诺 系统 可 以 通过 确保 迁移 之 间 的 时 间 永 远 不 小 于 某 个 正 数 来 正则 化 ( regularized)。 这 可 以 
通过 插入 混合 自动 机 停留 时 间 e 的 额外 模式 来 进行 模拟 。 请 使 用 正则 化 来 防止 (a) 中 所 建 模型 
是 非 齐 诺 的 。 在 与 第 一 部 分 相同 的 时 间 长 度 上 绘制 出 x, 和 x,， 并 请 说 明 所 用 的 z 值 。 

请 同时 提供 打印 输出 的 图 与 答案 。 
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状态 机 组 合 





状态 机 方法 为 系统 行为 建 模 提 供 了 便利 。 但 不 足 在 于 ， 对 于 我 们 关注 的 大 多 数 系 统 而 
， 其 状态 数量 通常 都 非常 大 ， 甚 至 是 无 限 的 。 自 动 化 工具 可 以 处 理 大 状态 空间 ， 但 人 工 对 
大 状态 空间 的 任何 直接 表示 仍 存在 着 诸多 困难 。 

工程 学 中 有 这 样 一 个 历史 悠久 的 原则 ， 即 复杂 系统 应 该 被 表示 为 一 组 较 简 单 系统 的 组 
合 。 本 章 阐 述 了 一 些 基 于 状态 机 的 组 合 实现 方法 。 当 然 ， 实 际 中 还 有 很 多 不 同 的 构造 状态 机 
的 方式 。 这 些 表面 上 看 似 相 近 的 组 合 可 能 对 不 同 的 人 有 着 不 同 的 含义 ， 模 型 符号 的 规则 被 称 
为 语法 (syntax )， 而 这 些 符 号 的 含义 被 称 为 语义 (semantics ) 。 


GID 在 标准 的 算术 语法 中 ， 在 加 法 符号 “+” 之 前 有 一 个 数字 或 表达 式 ， 同 时 在 
其 后 也 有 一 个 数字 或 表达 式 。 由 此 ,“1+2"， 这 三 个 符号 的 序列 就 是 一 个 有 效 的 算术 表达 
式 , 但 “1+” 却 不 是 。 表 达 式 “1+2” 的 语义 是 将 两 个 数 相 加 ， 意 味 着 “由 1 和 2 相 加 所 得 
的 数 是 3”。 表 达 式 “2+1” 在 语法 上 与 前 一 表达 式 不 同 ， 但 语义 与 之 完全 相同 (加 法 的 交 
换 律 )。 | 


本 书 中 的 模型 主要 采用 了 一 种 可 视 化 语法 ， 其 中 的 元 素 被 表示 为 方 框 、 圆 、 箭 头等 ， 而 
不 是 字符 集中 的 字符 ， 同 时 ， 其 中 元 素 的 位 置 也 未 被 约定 为 一 个 序列 。 这 种 语法 的 标准 化 程 
度 较 其 他 方法 (如 算术 语法 ) 要 更 底层 一 些 。 我 们 将 看 到 相同 的 语法 可 以 有 很 多 不 同 的 语义 ， 
而 这 会 引起 大 量 的 混 靖 。 


GID 现在 面向 状态 机 并 发 组 合 的 流行 标记 方法 是 由 Harel 于 1987 年 创建 的 
Statecharts。 而 且 源 于 同一 篇 文章 ， 已 经 演化 出 了 诸多 的 Statecharts 变 体 (von der Beeck, 
1994 )， 这 些 变 体 常常 对 相同 的 语法 赋予 不 同 的 语义 。 


在 本 章 ， 我 们 使 用 图 5-1 中 所 总 结 的 语法 为 扩展 
状态 机 构建 一 个 参 元 模型 。 单 个 扩展 状态 机 的 语义 已 
在 第 3 章 进 行 了 阐述 ， 在 本 章 我 们 将 讨论 可 被 赋予 多 
个 扩展 状态 机 组 合 的 语义 。 

本 章 所 要 讨论 的 第 一 类 组 合 技术 是 并 发 组 合 。 对 
于 两 个 或 多 个 状态 机 ， 它 们 可 能 同时 或 独立 地 对 其 
中 的 另 一 个 进行 响应 。 如 果 它 们 同时 相互 响应 ， 我 
们 就 称 其 为 同步 组 合 (synchronous composition); 如 
果 它 们 是 独立 进行 响应 的 ， 则 将 其 称 为 异步 组 合 
(asynchronous composition)。 然 而 ， 即 使 都 是 相同 的 -一 -一 一 一 一 一 一 一 一 
组 合 类 型 ， 这 些 组 合 在 语义 上 仍然 可 能 有 很 多 细微 的 图 5-1 本 章 所 使 用 状态 机 的 符号 汇总 


lt 
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差异 ， 这 些 差 异 主要 是 基于 这 些 状 态 机 之 间 是 否 以 及 如 何 进行 通信 和 共享 变量 的 。 
第 二 个 要 讨论 的 是 分 层 组 合 。 分 层 状 态 机 也 可 以 使 得 复杂 系统 被 描述 为 一 组 简单 系统 的 
组 合 ， 同 时 我 们 也 将 看 到 其 语义 中 可 能 存在 的 细微 差异 。 


关于 同步 

E} (synchronous) 这 一 术语 表示 的 含义 有 二 : (1) 同时 出 现 或 存在 , 或 者 (2) 以 
相同 的 速率 移动 或 进行 操作 。 在 工程 及 计算 机 科学 领域 中 ， 该 术语 有 着 与 上 述 定 义 大 臻 
相同 的 含义 ， 但 却 存在 着 了 矛盾。 在 提 及 使 用 线程 或 进程 构建 的 并 发 软件 时 ， 同 步 通信 是 
指 通信 的 会 合式 8 类 型 ， 即 消息 的 发 送 方 必须 等 待 接收 方 就 绪 ， 而 接收 方 必须 等 待 发 送 
方 的 消息 。 概 念 上 两 个 线程 认为 通信 同时 发 生 ， 与 定义 (1) 一 致 。 在 Java 语言 中 ， 关 
gt F synchronized 定义 了 不 允许 被 同时 执行 的 代码 块 。 很 奇怪 ， 两 个 同步 的 代码 块 并 不 
能 在 同一 时 刻 “ 发 生 ”"(occur)( 或 执行 ，execute)， 这 与 上 述 两 个 定义 不 相符 。 

在 软件 的 世界 中 ,“ 同 步 ”一 词 还 有 第 三 个 含义 ， 而 且 也 正 是 我 们 在 本 章 要 使 用 的 含 
义 。 第 三 个 含义 是 同步 语言 ( synchronous language， 参 见 “ 同 步 响 应 语言 ”注解 栏 ) 的 
基础 ， 其 由 两 个 主要 思想 所 主导 。 第 一 ， 程 序 中 组 件 的 输出 在 概念 上 与 它们 的 输入 是 同 
时 的 ( 称 之 为 同步 假设 ，synchrony hypothesis)。 第 二 ,程序 中 的 不 同 组 件 在 概念 上 同时 
且 即 时 执行 。 虽然 真正 的 执行 既 不 是 同时 发 生 的 也 不 是 即时 发 生 的 ， 而 且 输 出 也 并 非 与 
输入 是 真正 同时 的 ， 但是， 正确 的 执行 却 必须 表现 得 看 似 如 此 。 这 里 “同步 ”一 词 的 使 
用 与 以 上 两 个 定义 都 是 一 致 的 ; 组 件 的 执行 在 相同 时 间 发 生 ， 且 以 相同 的 速率 进行 操作 。 

在 电路 设计 中 ,“ 同 步 ”一 词 是 指 一 种 设计 风格 。 其 中 ， 分 布 在 整个 电路 中 的 时 钟 
驱动 着 锁 存 器 ， 使 其 在 时 钟 的 跳 沿 记录 输入 。 电 路 中 ， 时 钟 跳 沿 之 间 必 须 有 足够 的 时 间 
以 使 得 锁 存 器 之 间 的 电路 能 够 稳定 。 概 念 上 ， 该 模型 与 同步 语言 中 的 模型 相似 。 假 设 锁 
存 器 间 电 路 的 时 间 延 迟 为 零 与 同步 假设 是 等 价 的 ， 且 全 局 时 钟 分 配 提 供 了 同时 与 即时 的 
执行 。 

在 电力 系统 中 ， 同 步 意味 着 多 个 电信 号 波形 具有 相同 的 频率 和 相位 。 在 信号 处 理 
中 ， 同 步 意味 着 信号 拥有 相同 的 采样 速率 ， 或 者 一 个 信号 采样 率 是 另 一 个 信号 采样 率 的 
固定 倍数 。6.3.2 节 中 的 同步 数据 流 (synchronous dataflow) 基于 “同步 ”一 词 的 后 一 个 
含义 ， 其 用 法 与 定义 (2 ) 相 一 致 。 





5.1 并 发 组 合 


为 了 研究 状态 机 的 并 发 组 合 ， 本 节 将 通过 一 系列 组 合 模式 来 展开 讨论 ， 而 且 将 这 些 模式 
组 合 起 来 就 可 以 构造 出 更 为 复杂 的 系统 。 我 们 首先 从 平行 组 合 (side-by-side composition) 这 
个 最 简单 的 例子 开始 ， 平 行 组 合 中 的 状态 机 互 不 通信 。 之 后 讨论 允许 通过 共享 变量 进行 通 
信 ， 并 阐明 这 会 使 建 模 变 得 更 加 复杂 。 进 而 我 们 考虑 基于 端口 的 通信 ， 首 先 关 注 串 行 组 合 
( serial composition)， 之 后 会 扩展 到 任意 互联 的 组 合 方式 。 对 于 每 一 类 组 合 ， 我 们 都 将 讨论 
其 同步 和 异步 的 组 合 形式 。 


日 ”rendezvous， 该 词 意 为 约会 、 预 约 。 一 一 译 者 注 
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5.1.1 平行 同步 组 合 

我 们 要 讨论 的 第 一 个 组 合 模式 是 平行 组 合 (或 并 联 组 
A), 具体 以 图 5-2 中 的 两 个 参 元 为 对 象 进行 说 明 。 在 该 模式 
中 ,首先 假设 两 个 参 元 的 输入 与 输出 是 不 相连 的 ， 即 两 个 状 
态 机 互 不 通信 。 图 中 ， 参 元 4 有 输入 i 及 输出 o,， 参 元 B 有 
输入 i 和 输出 o,。 这 两 个 参 元 的 组 合 是 参 元 C， 其 输入 为 三 
Al i,, Mito, 5 o ° 

在 这 个 非常 简单 的 示例 中 ， 如 果 两 个 参 元 都 是 带 有 变量 
的 扩展 状态 机 ， 那 么 它们 的 变量 也 都 是 不 相关 的 (随后 的 内 
容 中 将 讨论 当 两 个 状态 机 之 间 共 享 变量 时 将 会 发 生 什么 情 。 ”图 5-2 两 个 参 元 的 平行 组 合 
况 )。 在 同步 组 合 中 ，C 的 响应 就 是 4 和 8B 的 同时 响应 。 


UD 考点 图 5-3 中 的 有 限 状态 机 4 和 B。4 有 一 个 纯 输 出 a, B 有 一 个 纯 输出 b， 
那么 ,平行 组 合 C 就 有 两 个 纯 输 出 a 和 bb。 如果 这 个 组 合 是 同步 的 ， 那么 在 第 一 个 响应 上 ， 
a #} absent, b# ze present, 在 第 二 个 响应 中 ， 输 出 将 发 生 翻 转 。 在 随后 的 响应 中 ，& 和 
b 连续 地 交替 为 present。 





输出 : a, b : pure 


输出 : a: pure 


true / a 





图 5-3 ”两 个 参 元 的 平行 组 合 示例 


鉴于 诸多 方面 的 原因 ,平行 同步 组 合 是 比较 简单 的 。 回 顾 3.3.2 节 ， 我 们 知道 环境 决定 
状态 机 何 时 进行 响应 。 在 平行 同步 组 合 中 ， 环 境 无 需 知道 C 是 两 个 状态 机 的 组 合 。 同 时 ， 
这 样 的 组 合 是 模块 化 的 ， 即 从 某 种 意义 上 说 该 组 合 本 身 就 是 一 个 原子 组 件 ， 可 被 进一步 用 于 
与 其 他 组 件 进行 组 合 。 

另外 ， 如 果 两 个 状态 机 4 和 B 都 是 确定 的 ， 那么 同步 的 平行 组 合 也 就 是 确定 的 。 我 
们 说 ， 如 果 各 组 件 所 持 有 的 属性 也 是 其 所 形成 组 合 的 属性 ， 那 么 该 属性 就 是 可 复合 
(compositional) 的 。 对 于 平行 同步 组 合 ， 确 定性 是 一 个 可 复合 的 属性 。 


O 在 组 合 参 元 C 中 ,这 些 输入 、 输 出 端口 可 以 被 重 命 名 ， 但 在 这 里 假设 使 用 与 组 件 参 元 中 相同 的 名 称 。 
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另外， 有 限 状 态 机 的 平行 同步 组 合 仍 是 一 个 有 限 状 态 机 。 给 出 该 组 合 语义 的 严格 方法 是 
为 该 组 合 定 义 出 一 个 新 的 状态 机 。 如 3.3.3 节 的 假设 一 样 ， 状 态 机 4 与 8B 可 由 以 下 两 个 五 元 
组 给 出 : 
A = (States ,, Inputs , Outputs,, update ,, initialState,) 
B = (Statess, Inputs,, Outputs, update,, initialState,) 


由 此 ， 平 行 同 步 组 合 C 就 可 由 如 下 形式 定义 : 


Statesc= States, x States, CSAY 
Inputs-=Inputs, x Inputs, LSZ) 
Outputs = Outputs, x Outputs s C53) 

initialState:= (initialState ,, initialState,) (5.4) 


对 于 所 有 的 ss E States,, Sg E States,, i, E Inputs, 以 及 is E nputs,, HER AUGEN 
为 如 下 形式 : 
updatec ((S4, Sa), (is, is))=((s"4, S'a), (O4, 08)) 
(S'a 04) = update, (S ix) 
(S's, Og) = updates (Sp, is) 

如 前 所 述 ，Inputss 和 Inputs, 都 是 估 值 的 集合 ， 集 合 中 的 每 个 估 值 是 赋 给 端口 的 一 个 值 。 
那么 ， 下 式 所 表示 的 含义 就 是 : 状态 机 组 合 C 的 输入 值 必须 同时 包括 有 限 状态 机 4 和 8B 的 
输入 的 估 值 。 

Inputsc= Inputs, x Inputs, 

通常 ， 单 个 有 限 状 态 机 C 可 以 用 图 形 化 方式 给 出 ， 而 不 用 符号 化 方式 ， 这 将 在 下 一 个 

例子 中 说 明 。 


< 图 5-4 以 单个 有 限 状 态 机 的 方式 给 出 了 图 5-3 中 的 平行 同步 组 合 C。 请 注意 ， 
该 状态 机 与 示例 5.3 中 的 状态 机 有 着 完全 相同 的 行为 ， 输 出 a fob KIM H present, # (sl, 
s4) 和 (s2, s33) 是 不 可 达 状 态 。 


输出 : a, b : pure 


true/a 


true / b 
true / a,b 


true / C 


图 5-4 给 出 图 5-3 状态 机 的 平行 同步 组 合 语义 的 单个 状态 机 





5.1.2 平行 异步 组 合 


在 状态 机 的 异步 组 合 中 ， 各 个 组 件 状 态 机 相互 独立 地 进行 响应 。 这 一 描述 是 相当 含糊 
的 ， 实 际 上 会 存在 多 种 不 同 的 解释 ， 每 一 种 解释 都 能 对 该 组 合 给 出 一 个 语义 。 各 个 语义 的 关 
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键 在 于 ， 如 何 为 图 5-2 中 的 组 合 C 定义 一 个 响应 。 这 主要 有 如 下 两 种 可 能 。 
e 语义 1: C 的 一 个 响应 是 4 或 8 的 一 个 响应 ， 其 选择 是 非 确定 的 。 
e 语义 2 : C 的 一 个 响应 是 4 或 8 的 一 个 响应 ,或 者 是 4 和 B 两 者 的 响应 ， 其 选择 是 
非 确定 的 。 另 外 ， 该 可 能 性 的 变 体 也 可 能 允许 两 者 都 不 响应 。 

语义 1 被 称 为 交错 语义 ( interleaving semantics), BHA AA BRA AM, MEL 
某 种 交错 顺序 进行 响应 。 

一 个 需要 引起 注意 的 问题 是 ， 状 态 机 4 和 B 在 这 些 语义 下 可 能 完全 错过 输入 事件 。 也 
就 是 说 ， 组 合 C 中 状态 机 A 的 一 个 输入 在 某 个 响应 中 可 能 为 present， 然 而 由 于 非 确定 性 选 
择 导致 C 的 响应 中 是 状态 机 B 而 不 是 4 响应 。 如 果 这 并 非 设计 者 所 期 望 的 结果 ， 那 么 在 调 
度 (参见 “异步 组 合 的 调度 语义 ”注解 栏 ) 或 在 同步 组 合 上 增加 一 些 控制 可 能 会 是 更 好 的 
选择 。 


GRD 对 于 图 5-3 中 的 示例 ， 由 语义 1 可 
得 到 图 5-5 所 示 的 组 合 状态 机 。 该 状态 机 是 非 确定 abe 
性 的 。 当 组 合 C 响应 时 ， 其 从 状态 (s1, s3) 迁移 到 
(s2, s3) 且 不 产生 输出 ， 或 者 从 状态 (s1, s3) 迁移 到 
(s1, s4) 并 输出 结果 5b。 需要 说 明 的 是 ， 如 果 我 们 
选择 了 语义 2， 组 合 C 也 可 以 迁移 到 (s2, s4)。 


对 于 满足 语义 1 的 异步 组 合 ， 组 合 C 中 的 符号 
定义 具有 与 同步 组 合 中 Statesc、Inputsc、QOutputsc 
和 initialStatec 相 同 的 定义 ， 见 式 (5.1) 一 式 
(5.4)。 但 其 更 新 函数 有 所 不 同 ， 对 于 所 有 的 
S, © States,, Sg E States,, i, E Inputs, VU Ris € 
Inputss， 其 形式 如 下 。 





图 5-5 给 出 图 5-3 状态 机 的 异步 平行 组 
合 语 义 的 状态 机 


update ((S4, Sg), (i4, tg) ) = (S45 $8), (04, 08)) 
其 中 ， 
(S4, 04) = update, (S4, is), EL ss = Sp, 0 = absent 
或 者 
(Sp, Of) = updates (Sg, iz), EL S4 = S4, 04 = absent 
ZELF, of=absent 的 含义 是 状态 机 B 的 所 有 输出 都 不 存在 。 类 似 地 ， 可 以 给 出 语义 
2 的 定义 (见习 题 2 )， 


异步 组 合 的 调度 语义 
在 5.1.2 节 所 给 出 的 语义 1 和 语义 2 中 ， 选 择 哪 一 个 组 件 状 态 机 进行 响应 是 不 确定 
的 ， 且 该 模型 并 没有 给 出 任何 具体 的 约束 。 那 么 ， 为 该 类 状态 机 引入 一 些 调度 策略 通常 
更 为 有 用 ， 由 此 ， 环 境 可 以 影响 或 者 控制 这 类 不 确定 的 选择 。 人 例如， 我们 可 以 为 异步 组 


合 引 入 如 下 两 个 附加 的 语义 。 
© 语义 3: 组 合 C 的 一 个 响应 是 状态 机 A 或 的 一 个 响应 ， 具 体 由 环境 来 选择 4 或 
B 中 的 某 一 个 响应 。 
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e 语义 4: 组 合 C 的 一 个 响应 是 状态 机 4 或 如 的 一 个 响应 ,或 者 4 和 B 两 者 的 响 
应 ， 具 体 选 择 由 环境 给 出 。 
与 语义 1 类似， 语义 3 也 是 一 个 交错 语义 。 
在 某 种 意义 上 ,语义 1、2 较 语 义 3、4 具有 更 好 的 复合 性 。 为 了 实现 语义 3 和 4， 
异步 组 合 必 须 为 环境 提供 某 些 机 制 来 选择 进行 响应 的 组 件 状 态 机 ( 即 调度 该 组 件 状态 
机 )。 这 就 意味 着 图 5-2 中 给 出 的 分 层 组 合 不 再 起 作用 。 参 元 C 必须 给 出 更 详细 的 内 部 


结构 ， 而 不 仅仅 是 其 端口 以 及 响应 能 力 。 

在 另 一 种 意义 上 ， 语 义 1 和 2 较 语 义 3 和 4 的 组 合 性 更 弱 ， 因 为 该 组 合 不 能 保证 确 
定性 。 确 定性 状态 机 的 组 合并 不 是 一 个 确定 性 状态 机 。 

进而 请 注意 ， 基 于 “语义 3 下 的 每 个 行为 也 是 语义 1 下 的 行为 ”这 一 意义 ,语义 1 
算是 语义 3 的 一 个 抽象 。 抽 象 的 概念 将 在 第 14 章 详细 研究 。 

这 些 语义 选择 之 间 的 微妙 差异 会 使 异步 组 合 变 得 相当 诡异 。 因 此 ,设计 人 员 要 相当 
小 心 ， 要 非常 清楚 地 确定 你 使 用 的 是 哪 种 语义 。 





5.1.3 ”共享 变量 


扩展 状态 机 具有 可 以 读 、 写 的 局 部 变量 ， 这 是 执行 响应 的 一 个 组 成 部 分 。 在 构造 组 合 状 
态 机 时 ， 多 许 这 些 变量 在 一 组 状态 机 内 部 进行 共享 有 时 是 有 用 的 。 具 体 来 说 ， 这 些 共享 变量 
对 中 断 ( 见 第 10 章 ) 以 及 多 线程 ( 见 第 11 章 ) 的 建 模 是 非常 有 用 的 。 然 而 ， 需 要 非常 小 心 
的 是 ,一定 要 确保 模型 的 语义 与 包含 中 断 和 线程 的 程序 的 语义 一 致 。 这 会 引起 很 多 复杂 问 
题 ， 如 内 存 一 致 性 模型 和 原子 操作 等 。 


GID 未 看 一 个 关于 服务 器 的 例子 。 两 个 服务 器 共享 一 个 请 求 队列 并 从 网 络 接收 请 
求 ， 每 个 请 求 发 起 一 个 处 理 时 长 未 知 的 服务 。 如 果 一 个 服务 器 正 忙 ， 即 使 该 服务 是 从 第 一 个 
服务 器 的 网 络 接口 接收 的 ， 另 一 个 服务 器 也 可 以 响应 该 请 求 。 

这 适合 于 类 似 图 5-2 所 示 的 模式 ， 其 中 4 和 B 都 是 服务 器 。 进 而 ， 可 以 将 服务 器 建 模 为 
如 图 5-6 所 示 的 状态 机 ， 其 中 ， 共 享 变量 pending 统计 等 待 的 作业 请 求 的 数量 。 当 一 个 请 求 
到 达 组 合 状 态 机 C 时 ， 非 确定 性 地 选择 两 个 服务 器 中 的 一 个 来 进行 响应 。 如 果 该 服务 器 是 
空闲 的 ， 它 将 处 理 该 服务 请 求 。 如 果 该 服务 器 正在 处 理 另 一 个 请 求 ， 那 么 将 出 现 以 下 两 种 情 
况 中 的 某 一 个 : 服务 器 正好 完成 了 对 当前 服务 请 求 的 处 理 ， 其 输出 done 并 立即 开始 处 理 新 
的 请 求 ; 或 者 ， 它 把 等 待 请 求 数 加 1 并 继续 处 理 当 前 请 求 。 这 一 选择 是 不 确定 的 ， 可 以 对 服 
务 器 的 服务 时 间 未 知 这 一 特性 进行 建 模 。 

如 果 组 合 C 是 在 没有 请 求 的 情况 下 做 出 响应 ， 那 么 ,服务器 4 或 B 将 被 非 确定 性 地 
选择 来 进行 响应 。 如 果 该 服务 器 是 空闲 的 且 有 一 个 或 多 个 挂 起 的 请 求 ， 该 服务 器 转换 到 
serving 状态 并 将 变量 pending 的 值 减 1。 如 果 响 应 的 服务 器 不 是 空闲 的 ， 将 可 能 发 生 以 下 三 
种 情况 之 一 : 继续 服务 当前 请 求 ， 此 时 它 简 单 地 通过 自 迁 移 转 换 回 serving 状态 ; ZRT E 
在 服务 的 请 求 ， 在 没有 挂 起 的 请 求 时 将 迁移 到 idle KA; 在 有 挂 起 的 请 求 时 迁移 到 serving 
状态 并 将 pending 的 值 减 1。 


BS# 状态 机 组 会 67 


共享 变量 : pending: int 
输入 : request: pure 
输 出 : doneA, doneB : pure 


输入 : request: pure 
输出 :done: pure 






srequest / 
“request ^ pending > 0/done 


srequest A pending = 0/done hyd pending := pending — 1 
MAA =“ =E 
request / done 


WN 


donel doneA 


pending := 0 





pending > 0 A srequest/ pending := pending + | 


pending := pending — 1 
request 


输入 : request: pure 
输出 : done: pure 


srequest/ 
arequest A pending > 0/done 


request ^ pending = 0/done pending := pending — 1 


request / done 
3 me 


done| doneB 


pending > 0A >request / pending := pending + 1 
pending := pending — 1 


图 5-6 ”共享 一 个 任务 队列 的 两 个 服务 器 模型 (假设 为 语义 1 下 的 异步 组 合 ) 


上 例 中 的 模型 展示 出 了 并 发 系统 的 很 多 微妙 之 处 。 首 先 ， 由 于 交错 语义 ， 共 享 变量 的 访 
问 都 是 原子 操作 ， 然 而 要 保证 原子 性 实际 上 是 非常 具有 挑战 性 的 ， 相 关内 容 在 第 10 章 、 第 
11 章 进行 讨论 。 其 次 ， 这 种 情况 下 选择 语义 1 是 合理 的 ， 因 为 输入 端 同时 连接 到 两 个 组 件 
状态 机 ， 所 以 ,不 用 考虑 具体 由 哪个 组 件 状态 机 来 进行 响应 ， 也 不 会 丢失 任何 输入 事件 。 然 
而 ， 如 果 这 两 个 状态 机 都 是 独立 的 输入 ， 这 些 请 求 就 可 能 被 错过 ， 此 时 该 语义 将 不 再 成 立 。 
语义 2 有 助 于 防止 上 述 情况 出 现 , 但 是 环境 应 该 使 用 什么 样 的 策略 来 决定 由 哪 一 个 状态 机 来 
进行 响应 呢 ? 如 果 在 C 的 同一 个 响应 上 ， 两 个 独立 的 输入 都 存在 请 求 时 将 会 发 生 什 么 ?如 
果 我 们 选择 语义 4 来 使 得 两 个 状态 机 同时 响应 ， 那 么 ， 这 两 个 状态 机 都 更 新 这 个 共享 变量 意 
味 着 什么 ? 此 时 ， 更 新 不 再 是 原子 的 ， 因 为 它们 具有 交错 语义 。 

进一步 要 强调 的 是 ， 选 择 语义 1 下 的 异步 组 合 允 许 这 些 无 法 有 效 利用 空闲 状态 机 的 行 
为 。 举 例 说 明 ， 假设 状态 机 A 正在 服务 、 状 态 机 BB 空闲 且 有 请 求 到 来 。 如 果 非 确定 性 选择 
引起 了 状态 机 A 的 响应 ， 那 么 它 将 只 是 对 pending 变量 加 1， 直 到 非 确定 性 选择 触发 了 状态 
PLB 的 响应 。 实 际 上 ,语义 1 允许 从 不 使 用 状态 机 中 某 一 个 的 那些 行为 。 

共享 变量 也 可 以 被 用 于 状态 机 的 同步 组 合 中 ,但 将 会 再 次 出 现 非常 复杂 的 细节 。 具 体 来 
说 ， 如 果 在 相同 的 响应 中 一 个 状态 机 读 取 变量 来 评估 一 个 监督 条 件 而 另 一 个 状态 机 对 该 共 
变量 进行 写 操作 ， 将 会 发 生 什么 情况 ?我 们 是 否 要 求 写 操作 必须 在 读 操作 之 前 执行 ? 如 果 正 
在 写 共享 变量 的 迁移 也 在 其 监督 条 件 中 读 取 该 变量 ， 又 将 会 怎样 ?就 这 些 问题 而 言 ， 一 个 可 
能 性 是 选择 同步 交错 语义 (synchronous interleaving semantics)， 该 语义 中 组 件 状 态 机 以 随机 
顺序 响应 且 被 非 确定 性 选择 。 这 个 策略 的 缺点 是 两 个 确定 性 状态 机 的 组 合 可 能 是 非 确定 性 
的 。 在 同步 交错 语义 的 一 个 可 替代 版 本 中 ， 可 以 让 这 些 组 件 状态 机 以 环境 或 者 某 些 附加 机 制 
(如 优先 级 ) 确定 的 固定 顺序 响应 。 
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共享 变量 呈现 出 的 这 些 困 难 ， 特 别 是 对 同步 组 合 而 言 ， 反 映 出 了 具有 共享 变量 的 并 发 模 
型 固有 的 复杂 性 。 ee ee 义 ， 这 将 在 第 6 章 讨 论 。 在 本 
章 我 们 将 揭示 同步 响应 计算 模型 ， 其 给 合理 组 合 的 同步 组 合 语义 

到 目前 为 止 ， 本 章 已 ae ei 接 下 来 将 讨 ; 仑 不 同 状态 
机 输入 与 输出 相连 的 几 种 情况 。 


5.1.4 级 联 组 合 


图 5-7 是 两 个 状态 机 4 和 8B 的 组 合 ， 状 态 机 4 的 输 
出 连接 到 状态 机 8B 的 输入 ， 这 种 组 合 风 格 被 称 为 级 联 组 合 
(cascade composition) 或 者 串 行 组 合 (serial composition) 。 

在 图 5-7 所 示 的 组 合 中 ,状态 机 A 的 输出 端口 ol 向 8 的 
输入 端口 i, 提供 输入 事件 。 假 设 0, 的 数据 类 型 为 V (表示 ol 
可 以 从 V PRERA absent), H i, WEA J Vio H 图 5-7 两 个 参 元 的 级 联 组 合 
此 ， 要 使 得 该 组 合 有 效 ， 须 满足 如 下 条 件 : 

EER 

这 表明 状态 机 4 的 端口 o 上 的 任何 输出 在 8 的 输入 端口 i, 上 都 是 可 接受 的 。 这 是 组 合 
的 类 型 检查 (type check). 

如 果 要 使 得 级 联 组 合 是 异步 的 ， 就 需要 引入 某 些 机 制 来 缓冲 由 状态 机 A 发 送 到 状态 机 B 
的 数据 。 第 6 章 将 对 该 类 异步 组 合 进行 讨论 ， 该 章节 中 计算 的 数据 流 和 进程 网 络 模型 将 提供 
这 样 的 异步 组 合 。 在 本 章 ， 我 们 仅 考虑 级 联系 统 的 同步 组 合 | 

在 图 5-7 所 示 级 联结 构 的 同步 组 合 中 ， 状 态 机 C 的 响应 包括 了 状态 机 4 和 8B 的 啊 应 ， 
其 中 状态 机 4 首先 响应 ， 产 生 输 出 (如果 有 )， 接 下 来 是 状态 机 B 响应 。 逻 辑 上 ， 我们 将 其 
看 作 零 时 刻 发 生 的 ， 因 此 ， 这 两 个 响应 就 具有 同时 和 即时 特性 。 但 是 ， 这 两 个 响应 之 间 是 有 
因果 关系 的 ， 状 态 机 4 的 输出 影响 着 B 的 行为 。 


GUE 图 5-8 给 出 了 两 个 有 限 状 态 机 的 级 联 组 合 。 假 设 该 组 合 具有 同步 语义 ， 组 合 
C 的 响应 的 含义 在 图 5-9 中 给 出 ， 该 图 清晰 地 说 明 两 个 状态 机 的 响应 是 同时 且 即 时 的 。 当 从 
初始 状态 (sl, s3) 迁移 到 状态 (s2, s4 ) 时 (输入 a 是 不 存在 时 出 现 )， 组 合 状态 机 C 并 不 经 
过 状态 (s2, s3 ) ! 实际 上 ，(s2, s3 ) 也 并 非 一 个 可 达 状 态 ! 这 种 情况 下 ， 状 态 机 C 的 单个 响 
应 包含 了 状态 机 4 和 B 两 者 的 响应 。 





输入 : b: pure 
输出 : c: pure 


bile true / 


ab / B 





图 5-8 两 个 有 限 状 态 机 的 级 联 组 合 示例 


为 了 构建 如 图 5-9 所 示 的 组 合 状态 机 ， 首 先 以 组 件 状 态 机 状态 空间 的 交叉 乘积 来 构造 状 
态 空 间 ， 进 而 需要 确定 在 什么 条 件 下 进行 什么 迁移 。 这 里 ， 重 要 的 是 要 记 住 这 些 迁 移 是 同时 
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的 ， 即 使 其 在 逻辑 上 是 由 一 个 触发 男 一 个 的 。 





输入 : a: pure 
输出 : c: pure 


alc, 






图 5-9 图 5-8 所 示 级 联 组 合 的 语义 (假设 为 同步 组 合 ) 


回顾 图 3-10 中 的 交通 灯 模 型 。 候 人 
设 我 们 要 将 该 模型 与 通过 路 口 的 行人 模型 进行 输出 ; pedG, pedR: pure 
组 合 ， 如 图 5-10 所 示 。 交 通 灯 的 输出 sigR 可 peount=0 peount>55 / pedR 
以 为 行人 交通 灯 提 供 sigR 输 入 。 在 同步 的 级 联 
组 合 模式 下 ， 图 5-11 给 出 了 该 组 合 的 含义 。 请 fo 
注意 ， 由 于 不 安全 的 状态 并 不 是 可 达 状态 ， 如 of 
( green,green) 表示 为 车 辆 和 行人 都 提供 了 绿灯 的 i i = 
状态 ， 所 以 这 里 没有 给 出 。 图 5-10 行人 交通 灯 模 型 ， 将 与 图 3-10 中 


的 交通 灯 模 型 进行 同步 级 联 组 合 
变量 : count: {0,--- ,60}, pcount: {0,--- ,55} 


输入 : pedestrian: pure count < 60 / 


输出 : sigR, sigG, sigY, pedG, pedR: pure count := count +1 







ount = 60 / sigY 
yellow, red count := 0 


pcount> 55 / pedR 


count := count + | Peat 
count := count + 1 


count= 5 / sigR,pedG 
count := 0 
pcount := 0 





red, green 
count := 0 Fi 
pcount := 0 : 和 


count := count + 1 
pcount := pcount + | 


图 5-11 图 3-10 交通 灯 模 型 与 图 5-10 行人 交通 灯 模 型 同步 级 联 组 合 的 语义 


在 最 简单 的 形式 中 ， 级 联 组 合意 味 着 这 些 组 件 的 响应 是 有 序 的。 由 于 这 种 有 序 性 已 被 很 
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好 地 定义 ， 因 此 ,使 用 共享 变量 并 不 会 有 多 大 的 难度 ， 这 与 处 理 平行 组 合 是 一 样 的 。 然 而 我 
们 将 会 看 到 ， 在 更 为 通用 的 组 合 中 进行 排序 并 非 那 么 简单 。 


5.1.5 通用 组 合 

平行 组 合 与 级 联 组 合 为 构造 复杂 的 状态 机 组 合 
又 提供 了 一 些 基 本 组 件 ， 如 图 5-12 所 示 的 组 合 示 
例 。 基 中 ， 状 态 机 4 MA, 是 一 个 平行 组 合 ， 共 同 
定义 了 状态 机 B, Ft, REH B A A, 是 一 个 级 联 
组 合 且 状 态 机 B 向 A, 提供 事件 。 然 而 ,状态 机 B 和 
4, 反 过 来 也 是 一 个 级 联 组 合 ，4, 向 B 提供 了 事件 输 
和 八 。 类 似 这 样 的 环 路 被 称 为 反馈 ， 其 引入 了 一 个 难 
题 : 哪 一 个 状态 机 应 该 首先 响应 ， 是 状态 机 8 还 是 
A? 下 一 章 解 释 计 算 的 同步 响应 模型 时 ， 我 们 将 给 出 解决 这 个 难题 的 思路 和 方法 。 


5.2 分 层 状态 机 


本 节 我 们 来 看 一 下 分 层 的 有 限 状态 机 (hierarchical FSM)， 该 类 状态 机 可 以 追溯 到 早期 
的 Statecharts ( Harel, 1987 )。 如 前 所 述 ，Statecharts 的 变 体 有 很 多 ， 且 通常 在 语义 上 存在 细 
微 的 差别 (von der Beeck, 1994 ) 。 这 里 我 们 仅 聚 焦 于 一 些 较 简单 的 方面 ， 同 时 挑选 一 个 特定 
的 语义 变 体 进行 讨论 。 

分 层 状态 机 的 关键 思想 是 状态 精 化 。 在 图 5-13 中 ， 状 态 B 有 一 个 精 化 ， 其 对 应 于 另 一 
个 具有 两 个 状态 C 和 D 的 有 限 状态 机 。 状 态 机 处 于 状态 B 的 含义 是 : 它 正 处 于 状态 C 或 D 
中 的 某 一 个 。 

通过 比较 图 5-13 中 的 分 层 状 态 机 以 及 图 5-14 中 等 价 的 扁平 有 限 状 态 机 就 可 以 理解 分 层 
的 含义 。 该 状态 机 起 始 于 状态 A。 当 监督 条 件 g, 的 估 值 为 真 时 状态 机 迁移 到 状态 B， 这 意 
味 着 迁移 到 其 精 化 的 初始 状态 ， 即 状态 C。 在 迁移 到 状态 C 时 ， 状 态 机 执行 动作 a, 并 产生 
一 个 输出 事件 或 者 设置 一 个 变量 (如 果 这 是 一 个 扩展 状态 机 )。 


gi/a 8&1 ^84 / a4; dl 





K 5-12 ”状态 机 的 任意 互联 是 平行 组 合 
与 级 联 组 合 的 组 合 (如 本 例 所 
示 ， 其 可 能 会 出 现 环 路 ) 





781 A83 / a3 





81 A784 / al 


gi ^83 / a3; al 
图 5-13 分 层 有 限 状态 机 中 ， 一 个 状态 可 以 图 5-14 图 5-13 中 分 层 有 限 状 态 机 的 语义 
有 一 个 精 化 ( 即 另 一 个 状态 机 ) 





之 后 ， 该 分 层 状态 机 可 以 有 两 种 方式 退出 状态 C : 监督 条 件 gi 的 佑 值 为 真 时 状态 机 退 
出 状态 B 并 返回 状态 A， 或 者 监督 条 件 gy 为 真 时 状态 机 迁移 到 状态 D。 一 个 棘手 的 问题 在 
F, 4g, Ag 同时 为 真 时 将 会 发 生 什 么 情况 ? Statecharts 的 不 同 变 体 在 该 问题 上 有 不 同 的 
选择 。 让 该 状态 机 在 状态 A 中 结束 看 上 去 是 合理 的 , 但 是 应 该 执行 哪个 动作 ，as 还 是 @ 或 
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APERIT? EE RE AY [a A Bh Ff BE Statecharts 各 种 变 体 不 断 涌现 的 原因 。 

我 们 选择 一 个 特定 的 语义 ， 其 具有 非常 突出 的 模块 化 特性 (Lee and Tripakis, 2010 ) 。 在 
这 个 语义 中 ,分 层 有 限 状 态 机 的 响应 被 定义 为 深度 优先 的 方式 。 当 前 状态 下 最 深层 的 精 化 先 
响应 ， 接 下 来 是 其 外 层 的 容器 状态 机 ， 之 后 是 外 层 容器 的 容器 等 ， 以 此 类 推 。 图 5-13 表示 ， 
如 果 状 态 机 是 在 状态 B 中 (意味 着 其 在 状态 C 或 状态 D 中 )， 那 么 该 精 化 状态 机 先 响应 。 如 
果 是 状态 C， 且 g, 为 真 ， 那 么 就 会 迁移 到 状态 D At a, 动作 。 但 之 后 ， 作 为 相同 响应 的 
一 部 分 ， 顶 层 的 有 限 状态 机 也 会 响应 。 如 果 监 督 条 件 g 也 为 真 ， 那 么 状态 机 就 会 迁移 到 状 
态 A。 重 要 的 是 ， 在 逻辑 上 这 两 个 迁移 是 同时 且 即 时 发 生 的 ， 因 此 ， 状 态 机 并 不 会 真 的 迁移 
到 状态 D。 尽 管 如 此 ， 动 作 a, 被 执行 ,动作 a, 也 是 如 此 。 该 组 合 对 应 于 图 5-14 中 最 上 面 的 
迁移 。 

男 一 个 问题 在 于 ， 如 果 两 个 (存在 的 ) 动作 在 同一 响应 中 被 执行 ， 它 们 就 可 能 发 生 冲 突 。 
例如 ， 两 个 动作 可 以 向 同一 个 输出 端口 写 数据 ， 或 者 它们 可 以 为 相同 的 变量 设置 不 同 的 值 。 
我 们 在 这 里 的 选择 是 让 这 些 动作 顺序 执行 ， 如 用 “ as; a,” 中 的 分 号 来 表示 这 一 方式 。 这 与 
在 命令 式 语言 (如 C 语言 ) 中 一 样 ， 分 号 表示 了 一 个 序列 。 此 时 ， 如 果 两 个 动作 产生 了 冲 
RZ, 那么 约定 后 者 优先 。 

通过 使 用 如 图 5-15 所 示 的 抢先 式 迁 移 preemptive transition) 可 以 避免 这 些 麻 烦 ， 由 
此 ,图 5-15 的 语义 就 如 图 5-16 所 示 。 抢 先 式 迁移 的 所 有 监督 条 件 将 会 在 精 化 进行 响应 之 前 
被 评 佑 ， 而 且 如 果 任 何 一 个 监督 条 件 的 估 值 为 真 ， 这 个 精 化 就 不 能 响应 。 因 此 ， 如 果 状 态 机 
处 于 B 状态 且 g X true, a 和 as 都 不 会 执行 。 图 5-15 中 ,起 始 端 带 有 圆圈 的 迁移 表示 抢先 
式 迁移 。 
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图 5-15 具有 抢先 式 迁移 的 图 5-13 变 体 图 5-16 图 5-15 的 语义 


请 注意 ， 在 图 5-13 和 图 5-14 中 ,无论 状 态 机 何 时 进入 状态 B， 就 算 上 一 次 离开 状态 B 
时 正 处 于 状态 D， 它 都 只 会 进入 状态 C 而 从 不 进入 状态 D。 这 里 从 状态 A 到 B 的 迁移 被 称 
为 复位 迁移 (reset transition)， 其 把 目标 状态 的 精 化 设置 为 它 的 初始 状态 ， 而 不 用 考虑 之 前 
所 处 的 是 什么 状态 。 在 符号 表示 中 ,迁移 的 末端 为 空心 箭头 时 表示 其 就 是 复位 迁移 。 

在 图 5-17 中 ,状态 A 到 B 的 迁移 是 历史 迁移 (history transition)， 是 复位 迁移 的 替代 方 
案 。 在 我 们 的 符号 标记 中 ， 实 心 箭头 表示 历史 迁移 。 为 了 强调 ， 也 可 以 用 字母 “H” 对 其 进 
行 标注 。 当 选取 了 一 个 历史 迁移 时 ， 目 标 状态 的 精 化 恢复 到 其 上 一 次 退出 时 所 处 的 状态 (或 
者 是 第 一 次 进入 时 的 初始 状态 )。 

图 5-17 中 历史 迁移 的 语义 如 图 5-18 所 示 。 初 始 状 态 标记 为 (A, C)， 用 以 说 明 状 态 机 
处 于 状态 A， 且 如 果 它 接 下 来 转 至 状态 B， 则 将 会 进入 状态 C。 在 第 一 次 转换 到 状态 B 时 ， 
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它 将 进入 标记 为 (B, C) 的 状态 ， 表 示 当 前 处 于 状态 B， 确 切 地 讲 是 状态 C。 如 果 之 后 转换 
至 状态 (B, D) 且 随 后 返回 到 状态 A， 那么 它 将 在 标记 为 ( A, D) 的 状态 中 结束 。 这 意味 着 
它 处 于 状态 A, 但 当下 次 转 至 状态 B 时 ,将 直接 进入 状态 D。 也 就 是 说 ， 它 记 住 了 迁移 历 
史 ， 特 别 是 离开 状态 B 时 所 处 的 位 置 。 










ai/a 
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图 5-17 具有 历史 迁移 的 图 5-13 所 示 分 层 状 态 机 图 5-18 图 5-17 中 具有 历史 迁移 的 分 层 状态 机 
的 变 体 的 语义 


正如 并 发 组 合 一 样 ， 分 层 状态 机 可 以 有 很 多 含义 ， 它 们 之 间 的 这 些 差异 可 能 非常 微 
妙 。 设 计 人 员 需 要 谨慎 地 保证 所 建立 的 模型 是 清晰 的 ， 且 它们 的 语义 要 与 所 建 模 的 对 象 保持 
一 致 。 ~ 


5.3 小 结 


任何 设计 良好 的 系统 都 是 由 较 简 单 的 组 件 组 合 而 成 的 。 在 本 章 ， 我 们 讨论 了 两 种 状态 机 
组 合 的 形式 ， 即 并 发 组 合 与 分 层 组 合 。 

对 于 并 发 组 合 ， 我 们 重点 对 同步 组 合 和 异步 组 合 进行 了 讨论 ,但 实际 内 容 并 不 止 于 此 。 
我 们 把 对 反馈 的 讨论 放 在 下 一 章 ， 因 为 这 会 让 同步 组 合 呈 现 出 明显 的 不 同 。 对 于 异步 组 合 ， 
通过 端口 进行 通信 需要 额外 的 机 制 ， 这 些 机 制 目 前 〈 还 ) 不 是 我 们 状态 机 模型 的 必要 部 分 。 
当然 ， 即 使 不 存在 基于 端口 的 通信 ， 模 型 仍然 会 有 显著 的 差异 。 这 是 因为 对 于 异步 组 合 来 说 
会 有 多 种 可 能 的 语义 ， 且 每 一 种 都 有 其 自身 的 优势 和 不 足 。 选 择 一 种 语义 可 能 适合 于 一 个 应 
用 ， 而 不 适合 男 一 个 。 这 些微 妙 的 差异 引出 了 下 一 章 要 学 习 的 主题 ， 其 为 并 发 组 合 提供 了 更 
多 的 结构 并 (以 不 同方 式 ) 解决 了 其 中 的 大 多 数 问题 。 

对 于 分 层 组 合 ， 本 章 主 要 讨论 Harel (1987) 最 初 引 入 的 称 为 Statecharts 的 风格 。 我 们 
特别 关注 有 限 状态 机 中 状态 可 以 继续 用 状态 机 进行 精 化 的 这 种 能 力 。 精 化 有 限 状 态 机 的 响应 
会 与 包含 这 些 精 化 的 状态 机 的 响应 组 合 在 一 起 ， 如 前 所 述 ， 这 也 存在 很 多 可 能 的 语义 。 


习题 


1. 考虑 图 3-8 中 停车 场 计 数 器 的 扩展 状态 机 模型 。 假 设 停车 场 有 两 个 不 同 的 入 口 和 出 口 ， 请 构建 由 两 
个 计数 器 组 成 的 平行 并 发 组 合 ， 其 共享 一 个 变量 来 记录 停车 场 中 的 车 辆 数 。 请 说 明 其 使 用 的 是 同 
步 组 合 还 是 异步 组 合 ， 同 时 通过 给 出 对 应 于 该 组 合 的 单 状态 机 模型 来 准确 地 定义 其 语义 。 如 果 选 择 
了 同步 语义 ， 请 解释 当 两 个 状态 机 同时 修改 共享 变量 时 会 发 生 什 么 情况 ; 如 果 使 用 了 蜡 步 组 合 ， 请 
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详细 解释 选择 了 哪个 异步 语义 的 变 体 以 及 选择 的 原因 。 请 说 明 所 设计 的 组 合 是 否 为 确定 性 的 。 
. 对 于 5.1.2 节 中 的 语义 2， 请 给 出 表示 组 合 C 的 单个 状态 机 的 五 元 组 (C 为 两 个 状态 机 4 和 8B 的 平行 
异步 组 合 ): 


N 


(Statesc, Inputsc, Outputse, update, initialStatec) 
所 给 出 答案 应 参照 状态 机 4 M B 的 五 元 组 定义 ， 如 下 : 
(States ,, Inputs,, Outputss, update ,, initialState ,) 
(States, Inputs,, Outputs,, updates, initialState,;) 
. 结合 如 下 两 个 状态 机 4 和 8B 的 同步 组 合 ， 请 构造 单个 状态 机 C 以 表示 该 组 合 ， 并 请 说 明 该 组 合 的 哪 
些 状态 是 不 可 达 的 。 


w 






输入 : b: pure 
输出 : c: pure 


—— 
FOR 


b/ 
bie 












4. 结合 如 下 两 个 状态 机 4 和 B 的 同步 组 合 ， 请 构造 单个 状态 机 C 以 表示 该 组 合 ， 并 请 说 明 该 组 合 的 哪 
此 状态 是 不 可 达 的 。 


输入 : a: pure 
输出 : b: pure ae 


a/b ~a / b 
Nar 


sa / Ä 





5. 对 于 如 下 分 层 状 态 机 ， 请 构建 一 个 等 价 的 扁平 有 限 状 态 机 来 给 出 该 分 层 的 语义 。 请 用 文字 描述 状态 
机 的 输入 、 输 出 行为 。 男 外 ， 是 否 存在 行为 相同 的 、 更 为 简单 的 状态 机 ? (请 注意 ， 状 态 机 间 的 等 价 
关系 将 在 第 14 章 讨 论 ， 这 里 仅 直观 地 关注 状态 机 响应 时 会 做 什么 。) 


输入 : a: pure 
输出 : p: pure a/b 





6. 如 下 状态 机 有 多 少 个 可 达 状 态 ? 
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输入 : a: pure 
输出 : b: pure alb 





7. 假设 第 4 章 习 题 8 的 状态 机 与 以 下 状态 机 组 成 一 个 平行 同步 组 合 。 请 找 出 事件 a 和 4b 之 间 的 严格 时 
间 下 限 。 也 就 是 说 ， 找 出 一 个 没有 事件 a 或 5 的 时 间 间 隔 下 界 。 并 请 说 明 所 找到 的 下 限 是 严格 的 。 


x(0) Y 


输出 : b : pure 


x(t) =l /b s4 
=o 
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并 发 计算 模型 





在 良好 的 工程 实践 中 ， 系 统 通常 都 是 由 多 个 组 件 组 合 而 成 的 。 为 了 能 够 更 好 地 理解 这 些 
组 合 ， 我 们 首先 需要 充分 地 理解 各 个 组 件 ， 以 及 组 件 间 交 互 的 含义 。 在 前 一 章 ， 我 们 已 经 
讨论 了 有 限 状态 机 的 组 合 。 基 于 这 样 的 组 合 ， 就 可 以 很 好 地 定义 组 件 了 (它们 都 是 有 限 状 态 
机 )， 但 是 对 于 组 件 间 的 交互 可 能 存在 很 多 解释 ， 而 组 合 的 含义 被 称 为 它 的 语义 。 

本 章 聚 焦 于 并 发 组 合 的 语义 “并 发 ”( concurrent) 一 词 的 字面 意思 是 “同时 运行 ”。 如 
果 系 统 的 不 同 部 分 (组 件 ) 在 概念 上 是 同时 操作 的 ， 就 说 该 系统 是 并 发 的 。 它 们 的 操作 并 不 
存在 明确 的 顺序 。 然 而 ， 该 类 并 发 操作 的 语义 可 能 是 非常 微妙 的 。 

本 章 我 们 关注 的 组 件 是 参 元 ( actor)， 其 对 输入 端口 的 激励 进行 响应 并 向 输出 端口 输出 
激励 。 在 本 章 ， 我 们 将 只 是 最 低 限 度 地 关心 参 元 本 身 是 如 何 定义 的 。 它 们 可 能 是 有 限 状 态 
机 、 硬 件 或 者 基于 命令 式 编 程 语言 的 程序 。 我 们 需要 对 参 元 的 行为 施加 约束 ， 但 无 需 限 定 如 
何 来 指定 它们 。 

参 元 的 并 发 组 合 语义 由 三 个 规则 集 支 配 ， 我 们 将 其 统称 为 计算 模型 (Model of 
Computation，MoC)。 第 一 个 规则 集 指定 了 组 件 的 构成 ， 第 二 个 规定 了 并 发 机 制 ， 第 三 个 则 
给 出 了 通信 和 机制。 

在 本 章 ， 组 件 被 看 作 一 个 具有 端口 和 执行 动作 (execution action) 集合 的 参 元 。 执 行动 
作 定 义 了 参 元 如 何 对 输入 做 出 反应 、 产 生 输 出 并 改变 其 状态 。 对 端口 进行 互 连 可 以 在 参 元 之 
间 提 供 通信 支持 ， 同 时 ， 由 参 元 的 环境 调用 执行 动作 来 执行 其 功能 ， 如 有 限 状态 机 的 一 个 动 
作 会 引起 一 个 响应 。 本 章 的 重点 是 学 习 一 些 可 以 控制 参 元 间 交 互 过 程 的 、 可 能 的 并 发 机 制 与 
通信 机 制 。 

我 们 首先 阐述 应 用 于 本 章 所 研究 的 全 部 计算 模型 的 通用 模型 结构 ， 之 后 会 进一步 阐述 一 
组 计算 模型 。 


6.1 模型 的 结构 


ERE, 我 们 假设 模型 由 固定 互 连 的 参 元 组 成 ， 如 图 6-1a 所 示 ， 参 元 间 的 互 连 关系 则 
指定 了 通信 的 路 径 。 通 信 本 身 采 用 了 信号 (signal) 的 形式 ， 其 包括 了 一 个 或 多 个 通信 事件 
(communication event)。 例 如 ， 对 于 3.1 节 的 离散 信号 ， 信 号 s RAW FAJE, HP y, 
是 一 个 值 的 集合 ， 称 为 信号 s 的 类 型 。 此 时 ,通信 事件 是 * 的 一 个 存在 值 。 

s : R—VU {absent} 


AD 对 于 所 有 的 1E R 以 及 PE 民 ， 纯 信号 s 是 由 下 式 给 出 的 离散 信号 ， 该 信号 
被 称 为 一 个 周期 为 P 的 时 钟 信号 (clock signal)。 通 信 事 件 在 每 P 个 时 间 单 元 时 发 生 。 
present WÑ tz PHE% 


<= absent 其 他 
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b) 
LH 


d) 
图 6-1 参 元 间 的 任何 互联 可 以 被 建 模 为 一 个 具有 有 反馈 的 单个 (平行 组 合 ) Boe 


Pe, 





在 第 2 章 ， 连 续 时 间 信号 具有 如 下 函数 形式 ， 这 种 情况 下 ,对 于 +E 民 , (不 可 数 的 ) 无 
限 数 值 集中 的 每 个 值 s(t) 是 一 个 通信 事件 。 


s +: R-Y¥, 
在 本 章 ， 我 们 还 将 看 到 如 下 形式 的 信号 ， 其 与 时 间 线 无 关 ， 而 只 是 一 系列 的 值 。 
§ > Ns 


每 个 通信 事件 都 有 一 个 类 型 ， 这 要 求 参 元 间 的 连接 要 有 类 型 检查 。 也 就 是 说 ， 如 果 输 出 

类 型 为 态 的 输出 端口 ? 与 类 型 为 V, 的 输出 端口 x 相连， 那么 必须 满足 如 下 关系 。 
VSV, 

如 图 6-lb ~d 中 所 示 ， 任 何 参 元 网 络 都 可 以 被 简化 为 一 个 相当 简单 的 形式 。 如 果 我 们 
按照 图 6-1b 所 示 的 方式 重新 排列 这 些 参 元 ， 这 些 参 元 就 形成 了 一 个 由 圆 角 矩形 所 表示 的 平 
行 组 合 。 这 个 矩形 本 身 就 表示 了 如 图 6-1c 所 示 的 参 元 下， 其 输入 是 一 个 信号 三 元 组 (s,s 
s,)， 输 出 同样 也 是 一 个 信号 三 元 组 。 如 果 令 sls, ss ss)， 参 元 就 可 以 被 表示 为 如 图 6-14 所 
示 形 式 ， 其 隐藏 了 模型 的 所 有 复杂 性 。 

请 注意 ， 图 6-1d 是 一 个 反馈 系统 。 基 于 我 们 构造 该 系统 的 过 程 和 方法 ， 参 元 间 的 每 一 
个 连接 都 可 以 被 构造 为 与 之 类 似 的 反馈 系统 (见习 题 1 )。 


参 元 网 络 的 方程 组 表示 
一 个 模型 中 ， 如 果 所 有 参 元 都 是 确定 性 的 ， 那 么 每 一 个 参 元 就 都 是 一 个 可 将 输入 信 
号 映射 到 输出 信号 的 函数 。 例 如 ， 在 图 6-1a P, AAA 可 能 是 一 个 将 信号 s| fos, 关联 
起 来 的 函数 ， 形 式 如 下 。 





Ss=A(s1) 


žia, A B 也 以 如 下 形式 将 三 个 信号 进行 关联 。 

$1=B(s,, 83 ) 

AA C 较为 特殊 ， 因 为 其 并 没有 输入 端口 。 那 么 ， 它 怎么 会 是 一 个 函数 呢 ? 函数 的 
定义 域 又 会 是 什么 ? 如 果 这 个 参 元 是 确定 性 的 ， 那 么 它 的 输出 信号 9 就 是 一 个 恒定 信 
Fo AA C 应 该 是 一 个 常 函数 ， 对 每 一 个 输入 都 有 相同 的 输出 。 一 个 简单 的 保证 方式 是 
将 C 定 义 为 定义 域 是 单元 素 集 (只 有 一 个 元 素 的 集合 ) 的 函数 。 令 {9} 为 单元 素 集 ， 那 
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么 C 就 只 能 被 应 用 于 gs。 此 时 ， 可 由 下 式 给 出 函数 C 的 定义 。 
C(@)=s, 
由 此 ， 图 6-1a 实际 上 就 对 应 了 如 下 一 个 方程 组 。 
5, = B(s2,5; ) 
$= A(S, ) 
s= C(o) 
该 模型 的 语义 是 该 方程 组 的 一 个 解 ， 且 这 可 以 用 图 6-1d 中 的 函数 简洁 地 表示 为 如 下 
形式 。 
F(51,88; )=(BG2s ),A(, ),C(0)) 
图 6-1a 中 的 所 有 和 参 元 都 具有 输出 端口 。 如 果 存 在 没有 输出 端口 的 参 元 ,我 们 可 以 将 
该 参 元 定义 为 到 达 域 是 {8g} 的 函数 。 对 于 所 有 的 输入 ， 该 类 函数 的 给 出 为 g。 


不 动 点 语义 
在 一 个 模型 中 ， 如 果 所 有 参 元 都 是 确定 性 的 ， 那 么 每 个 参 元 就 是 一 个 可 将 输入 映射 
到 输出 的 函数 。 该 类 模型 的 语义 是 一 个 方程 组 ( 见 “ 参 元 网 络 的 方程 组 表示 ”)， 而 且 图 
6-1d 可 以 简化 表示 为 式 (6.1)， 其 中 s=(s1, 5, s3)。 当 然 ， 这 个 方程 仅 是 看 似 简 单 而 已 ， 
其 复杂 性 依赖 于 下 函数 的 定义 以 及 所 的 定义 域 结构 和 范围 。 
s=F(s) (6.1) 
URE ERS N HEE BRP : XOX, RAA x E X Fax, Axi 
被 称 为 不 动 点 (Fixed-Point)。 因 此 方程 (6.1 ) 可 断定 一 个 确定 性 参 元 网 络 的 语义 就 是 
一 个 不 动 点 。 是 和 否 存 在 一 个 不 动 点 ,不 动 点 是 否 唯一 ， 以 及 如 何 找 出 不 动 点 ?这 些 都 成 
为 非常 有 意思 的 问题 ， 也 是 计算 模型 的 核心 问题 。 
在 计算 的 同步 响应 模型 (SR 模型 ) 中 ， 所 有 参 元 的 执行 是 同时 且 即 时 的 ， 并 且 是 在 
全 局 时 钟 的 节拍 上 执行 。 如 果 该 参 元 是 确定 的 ， 那 么 每 个 这 样 的 执行 就 实现 了 一 个 被 称 
为 触发 函数 (firing function) 的 函数 。 例 如 ， 在 全 局 时 钟 的 第 元 个 时 间 片 ， 图 6-1 中 的 
参 元 4 就 实现 了 如 下 形式 的 函数 。 其 中 ， 挨 是 信号 si 的 类 型 。 
a, : VU {absent} > V, U {absent} 
由 此 ， 如 果 s(n) 是 s; 在 第 nn 个 时 间 片 的 值 ， 那 么 就 会 有 如 下 关系 成 立 。 
s (n)=a, (s, (n)) 
对 每 个 参 元 斑 给 出 一 个 触发 函数 太 ， 我 们 可 以 像 图 6-1d 中 一 样 通过 不 动 点 来 定义 单 
个 节拍 上 的 执行 : 
s(n)=f, (s(n)) 
KP, s(n)=(s, (n), s (n), 5;(n)), Hf, -AE A+ FH RH BK: 
SF, (8; (n), $2 (n), ss (n) )=(B,, ($2 (n), 53 (7) ), av (8; (n)), cn (@)) 
由 此 ， 对 于 同步 响应 模型 ， 全 局 时 钟 每 个 节拍 的 语义 就 是 函数 万 的 不 动 点 ， 就 如 在 
所 有 节拍 上 的 执行 是 函数 下 的 不 动 点 一 样 。 





6.2 同步 响应 模型 
在 第 5 章 ， 我 们 学 习 了 状态 机 的 同步 组 合 ， 但 是 我 们 回避 了 反馈 式 组 合 之 间 的 差异 。 对 
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于 描述 为 图 6-1d 中 反馈 系统 的 模型 ，5.1.5 节 中 讨论 的 难题 就 具有 特别 简单 的 形式 。 如 果 图 
6-1d 中 的 反馈 系统 瓦 是 由 状态 机 实现 的 , 那么 ， 为 了 使 其 响应 ， 我 们 就 要 知道 它 产 生 响 应 
时 所 需 的 输入 是 什么 。 但 由 于 它 的 输入 和 输出 是 相同 的 ， 因 此 为 了 让 产生 响应 ， 还 需要 知 
道 其 输出 是 什么 。 但 是 ， 我 们 在 执行 响应 之 前 无 法 知道 其 输出 是 什么 。 

如 6.1 节 及 习题 1 所 示 ， 所 有 参 元 网 络 都 可 以 被 看 成 反馈 系统 ， 因 此 我 们 必须 解决 这 
个 难题 。 现 在 ， 我 们 通过 给 出 同步 响应 ( Synchronous-Reactive，SR) 计算 模型 来 解决 这 个 
问题 。 

同步 响应 模型 是 一 个 离散 系统 ,在 (可 能 的 ) 全 局 时 钟 的 节拍 时 刻 之 外 ， 信 和 号 都 是 不 存 
在 的 。 概 念 上 ， 模 型 的 执行 对 应 了 在 离散 时 间 到 来 的 全 局 响应 的 序列 ， 而 且 在 每 一 个 这 样 的 
响应 中 ， 所 有 参 元 的 响应 都 是 同时 且 即 时 的 。 


6.2.1 反馈 模型 


我 们 首先 来 看 图 6-1d 形式 的 反馈 模型 其中， 反馈 系统 下 的 实现 是 一 个 状态 机 。 在 全 
局 时 钟 的 第 n 个 节拍 ， 我 们 必须 找 出 信号 s 的 值 ， 以 使 得 它 是 状态 机 当前 状态 的 有 效 输 入 和 
有 效 输出 。 令 s(n) 表示 信号 s 在 第 n 个 响应 中 的 取 值 ， 那 么 我 们 的 目标 就 是 在 全 局 时 钟 的 每 
个 节拍 上 确定 s(n) 的 值 。 


GIP 未 看 一 个 较 简 单 的 例子 ， 如 图 6-2 所 示 ( 该 示例 较 图 6-1d 更 简单 ， 因 为 信号 
s 是 单一 的 纯 信 号 而 不 是 三 个 信号 的 聚合 )。 如 果 响 应 发 生 时 状态 机 4 正 处 于 状态 s1， 那 么 
s(n) 可 能 的 取 值 仅 为 s(n)=absent， 这 是 因为 该 响应 必须 选取 一 个 从 sl 状态 发 出 的 迁移 ， 而 
这 两 个 迁移 的 输出 都 不 存在 。 另 外 ， 一 旦 我 们 知道 s(n)=absent， 就 可 以 知道 输入 端口 x 的 值 
为 apsent， 因 此 ， 可 以 确定 状态 机 4 将 转换 到 状态 S2。 

如 果 响 应 产生 时 4 处 于 s2 状态 ，s(n) 可 能 的 值 就 只 有 s(n)=present， 状 态 机 将 转换 到 状 
态 s1， 所 以 s Æ absent 和 present 之 间 切 换 。 图 6-3 给 出 了 状态 机 4 在 反馈 模型 中 的 语义 。 


输出 : y: pure 






true / y 





图 6-2 一 个 结构 良好 的 简单 反馈 模型 图 6-3 图 6-2 所 示 模 型 的 语义 


需要 着 重 说 明 的 是 ， 在 之 前 的 例子 中 输入 x 和 输出 y 在 每 一 个 响应 中 都 有 相同 的 值 。 这 
就 是 反馈 连接 的 含义 。 任 何 从 输出 端口 到 输入 端口 的 连接 都 意味 着 输入 端口 的 值 始终 与 输出 
端口 的 值 相同 。 

如 图 6-2 一 样 ， 给 定 一 个 反馈 模型 中 的 确定 性 状态 机 ， 可 以 在 其 每 一 个 状态 i 中 定义 一 
个 函数 a;,， 从 而 把 输入 的 值 映 射 到 输出 。 该 函数 依赖 于 状态 机 所 处 的 状态 ， 且 由 更 新 函数 所 
定义 。 


a; : {present, absent} — {present, absent} 
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GID 对 于 图 6-2 中 的 例子 ， 如果 状态 机 处 于 状态 s1， 那 么 ， 对 于 x E (present, 


absent}, a, (x)=absent. 


XY TARAS i, PRR a 被 称 为 触发 函数 (参见 “不 动 点 语义 ”)。 给 定 一 个 触发 函数 ， 要 找 
出 第 个 响应 时 的 s(n) 值 ， 我 们 仅 需 要 找 出 如 下 的 s(n) 值 。 
s(n)=a; (s(n)) 
该 s(n) 值 被 称 为 函数 w 的 不 动 点 。 很 容易 看 到 如 何 将 其 进行 一 般 化 ， 从 而 使 信号 s 可 
以 是 任何 类 型 。 信 号 s 甚至 可 以 是 一 组 信号 的 聚合 ， 如 图 6-1d 所 示 (参见 “不 动 点 语义 ”)。 


6.2.2 ”形式 非 良 好 模型 与 形式 良好 模型 

在 寻找 不 动 点 时 ， 有 可 能 会 出 现 两 个 潜在 的 问题 。 首 先 ， 可 能 并 不 存在 一 个 不 动 点 ; 其 
次 ， 可 能 存在 多 个 不 动 点 。 如 果 在 一 个 可 达 状 态 中 出 现 了 上 述 任何 一 种 情况 ,我 们 就 称 该 系 
统 为 形式 非 良好 的 (ill formed)， 否 则 ， 其 就 是 形式 良好 的 (well formed). 


GID 日 64 给 出 了 一 个 状态 机 B。 在 状态 sl 中， 我们 可 以 得 到 唯一 的 不 动 点 
s(n)=absent。 然 而 ,状态 s2 中 并 不 存在 不 动 点 。 如 果 我 们 尝试 选择 s(n)=present, MAKA 
机 将 切换 到 sl 状态 并 将 输出 apsent。 但 由 于 输出 必须 与 输入 相同 ， 且 输入 是 present， 因 此 
出 现 矛 盾 。 当 我 们 党 试 选择 s(n)=absent 时 也 会 出 现 类 似 矛盾 。 

由 于 状态 s2 是 可 达 的 ， 因 此 这 个 反馈 模型 就 是 形式 非 良好 的 。 


输入 : x: pure 
输出 : y: pure 





图 6-4 在 状态 2 中 没有 不 动 点 的 形式 非 良 好 反馈 模型 


GP 如 图 6-5 所 示 的 状态 机 C。 在 状态 sl +, s(n)=absent 和 s(n)=present 两 个 都 
是 不 动 点 ， 从 而 任何 选择 都 是 有 效 的 。 因 为 状态 sl 是 可 达 的 ， 因 此 反馈 模型 就 是 形式 非 良 
好 的 。 





图 6-5 在 状态 sl 中 有 多 个 不 动 点 的 形式 非 良 好 反馈 模型 
如 果 在 一 个 可 达 状 态 中 有 多 个 不 动 点 ， 我 们 声明 该 状态 机 是 形式 非 良 好 的 。 一 个 替代 性 
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语义 不 会 拒绝 这 样 的 模型 ， 但 是 会 声明 模型 是 不 确定 的 。 这 是 一 个 有 效 的 语义 ， 但 是 该 语义 
的 不 足 在 于 ， 多 个 确定 性 状态 机 的 组 合并 不 一 定 就 是 确定 性 的 。 实 际 上 ， 图 6-5 中 的 状态 机 
C 是 确定 性 的 ， 而 在 该 替代 性 的 语义 下 ， 图 中 的 反馈 组 合 不 再 是 确定 性 的 。 确 定性 并 非 一 个 
组 合 属性 。 因 此 ， 我们 宁可 不 选用 这 些 模 型 。 


6.2.3 ”推定 一 个 不 动 点 


如 果 信 号 s 或 由 其 所 聚合 的 一 组 信号 的 类 型 天 是 有 限 的 ,那么 ， 找 出 不 动 点 的 一 个 方法 
就 是 穷 举 搜索 ( exhaustive search)， 其 意味 着 要 试 遍 所 有 可 能 的 值 。 如 果 恰 好 找到 了 一 个 不 
动 点 ， 那 么 该 模型 就 是 形式 良好 的 。 然 而 ， 穷 举 算法 的 开销 很 大 (而 且 在 类 型 并 非 有 限时 是 
不 可 能 完成 的 )。 反 之 ， 可 以 设计 出 一 个 系统 化 的 过 程 ， 其 对 大 多 数 而 不 是 全 部 的 值 进行 搜 
索 ， 形 式 良好 的 模型 将 可 以 找 出 一 个 不 动 点 。 该 过 程 如 下 所 示 ， 对 于 每 一 个 可 达 状 态 i 有: 

1) 以 s(n) 未 知 开 始 。 

2) 尽 可 能 多 地 确定 fi (s(n))， 其 中 fi 是 状态 i 的 触发 函数 (请 注意 ， 在 这 一 步 只 需 使 用 
由 状态 机 给 出 的 触发 函数 ， 无需 运用 状态 机 如 何 与 外 部 连接 的 知识 )。 

3) 重复 第 2 步 直 至 s(n) 中 所 有 的 值 都 为 已 知 (无 论 它 们 是 否 存在 以 及 它们 的 值 是 什 
A), 或 者 直到 不 能 再 继续 执行 该 过 程 。 

4) 如 果 依 然 存 在 未 知 的 值 ， 则 拒绝 该 模型 。 

当然 ， 这 个 过 程 可 能 会 拒绝 存在 唯一 不 动 点 的 模型 。 关 于 此 ， 我 们 用 如 下 示例 进行 
说 明 。 


GI FEN 6-6 中 所 示 的 状态 机 D. Æ 
状态 sl 中， 如 果 输 入 是 未 知 的， 我 们 并 不 能 立即 
确定 输出 会 是 什么 。 我 们 必须 在 输入 上 尝试 所 有 
可 能 的 值 ， 以 确定 对 于 所 有 的 n 有 s(n)=absent。 


车 上 述 过 程 在 一 个 状态 机 的 所 有 可 达 状 态 中 
都 可 以 执行 ， 就 说 其 是 可 推定 的 (Berry, 1999). 
图 6-6 中 的 示例 不 是 可 推定 的 。 对 于 不 可 推定 的 
状态 机 ， 我 们 只 好 进行 穷 举 搜索 ， 或 者 不 得 不 设 。 图 66 一 个 不 可 推定 的 形式 良好 反馈 模型 
计 更 为 复杂 的 解决 方法 。 由 于 对 于 实际 应 用 而 言 ， 穷 举 搜索 的 开销 通常 太 大 ， 因 此 很 多 同步 
响应 语言 及 建 模 工具 ( 见 “ 同 步 响应 语言 ") 中 都 不 采用 不 可 推定 的 模型 。 

上 述 过 程 的 第 2 步 非常 关键 。 如 果 输 入 并 非 全 部 已 知 ， 那 么 能 够 确切 判定 其 输出 的 程度 
有 多 少 ? 这 要 求 对 模型 进行 必须 — 可 能 分 析 ( must-may 分 析 )。 检 查 该 状态 机 ， 我 们 就 可 以 
确定 输出 中 的 什么 必须 为 真 、 什 么 可 能 为 真 。 


GQ 图 6-? 中 的 模型 是 可 推定 的 。 在 状态 sl 中 ， 可 以 立即 确定 状态 机 不 可 能 产生 
输出 。 因 此 ， 即 使 输入 是 未 知 的 ， 我 们 也 可 以 立即 断定 输出 是 absent。 当 然 ， 一 旦 已 经 确定 
了 输出 是 不 存在 的 ， 我 们 就 可 以 知道 输入 是 不 存在 的 ， 由 此 也 就 可 以 断定 该 过 程 。 

在 状态 s2 中 ,我 们 可 以 立即 确定 状态 机 必须 产生 一 个 输出 ， 由 此 就 可 以 立即 断定 输出 


是 present。 





以 上 过 程 可 以 被 推广 至 任意 的 模型 结构 。 再 来 看 图 6-1a 中 的 示例 ， 我 们 没有 必要 将 其 


FOF HAUFE 8l 


转换 至 图 6-1d 所 示 形 式 。 相 反 地 ， 我 们 可 以 以 标记 所 有 信和 号 为 未 知 开 始 ， 之 后 以 任意 的 顺 
序 来 检查 每 个 参 元 ， 以 确定 初始 状态 给 定时 其 输出 是 什么 。 重 复 这 一 个 过 程 ， 直 至 不 再 有 新 
的 进展 ， 此 时 要 么 所 有 信号 都 已 变 为 已 知 ， 要 么 我 们 拒绝 这 些 形 式 非 良好 的 或 者 不 可 推定 的 
模型 。 一 旦 所 有 信号 都 是 已 知 的 ， 所 有 参 元 就 可 以 进行 状态 的 迁移 ， 而 且 可 在 下 一 个 响应 的 
新 状态 中 重复 该 过 程 。 

以 上 的 可 推定 过 程 也 可 以 用 于 支持 非 确定 性 状态 机 (〈 见 习题 4 )。 但 这 样 一 来 ， 情 况 又 
会 变 得 有 些 棘手 了 ， 对 于 该 语义 存在 着 多 个 变 体 。 一 种 处 理 非 确定 性 的 方式 是 ， 在 执行 该 推 
定 的 过 程 中 ， 当 遇 到 一 个 非 确定 性 选择 时 只 要 做 出 任意 的 选择 即 可 。 知 结果 会 导致 找 出 不 动 
点 的 过 程 失败 ， 我 们 要 么 拒绝 这 个 模型 (并非 所 有 选择 都 能 找到 一 个 形式 良好 的 或 者 可 推定 
的 模型 )， 要 么 拒绝 这 个 选择 并 再 次 尝试 。 

在 计算 的 同步 响应 模型 中 ， 这 些 参 元 至 少 在 概念 上 会 同时 且 即 时 响应 ， 而 且 用 实际 的 计 
算 来 实现 这 一 点 则 要 求 密切 的 计算 协调 。 接 下 来 ,我 们 将 讨论 需要 较 少 协调 的 一 组 计算 模型 。 


同步 响应 语言 

同步 响应 计算 模型 的 历史 至 少 可 以 追溯 至 20 世纪 80 年代 中 期 ， 当 时 已 经 开发 了 一 
系列 的 编程 语言 。“ 响 应 ”一 词 源 自 转换 式 系统 (其 接收 输入 数据 ， 执 行 计算 并 产生 输出 
数据 ) 与 响应 式 系统 (其 与 所 处 环境 进行 交互 ) 之 间 计 算 系 统 的 区 别 ( Harel and Pnueli, 
1985) Manna 和 Pnueli ( 1992 ) 给 出 如 下 描述 。 

“一 个 响应 式 程序 的 作用 … 不 是 产生 一 个 最 终 的 结果 ， 而 是 维持 正在 与 环境 持续 进行 
着 的 交互 。” 

转换 式 系统 与 响应 式 系 统 之 间 的 区 别 导 致 了 诸多 新 型 编程 语言 的 诞生 。 同 步 语言 
( Benveniste and Berry, 1991) 为 响应 式 系 统 的 设计 提供 了 一 个 特定 的 方法 ， 其 中 ， 程 序 
的 多 个 片段 在 全 局 时 钟 的 每 个 节拍 上 同时 且 即 时 响应 。 在 这 些 语言 中 ， 具 有 重要 地 位 的 
是 Lustre ( Halbwachs et al., 1991 )、Esterel ( Berry and Gonthier, 1992 ) 以 及 Signal ( Le 
Guernic et al., 1991 ) 。 Statecharts (Harel, 1987) 及 其 在 Statemate (Harel et al., 1990) 中 
的 实现 也 具有 很 强 的 同步 特征 。 

SCADE ( Berry, 2003 ) ( Safety Critical Application Development Environment， 安 全 
依 关 应 用 开发 环境 ) 是 法 国 Esterel 公司 的 一 款 商 业 化 产品 ， 其 基于 Lustre 语言 构建 且 
借用 了 Esterel 语言 的 很 多 概念 。 该 软件 提供 了 一 个 图 形 化 语法 ， 可 以 画 出 状态 机 ， 且 
所 采用 参 元 模型 的 构成 与 本 书 中 的 图 形 表示 相似 。 同 步 语言 的 一 个 主要 吸引 力 在 于 它们 
具有 强大 的 形式 化 特性 ， 这 些 特 性 对 于 形式 化 分 析 与 验证 技术 非常 有 效 。 基 于 此 原因 ， 
SCADE 模型 已 被 用 于 设计 空 客 公司 商用 飞机 的 安全 依 关 飞 控 软件 系统 。 

同步 语言 的 规则 也 可 被 用 于 协同 语言 (coordination language) 而 不 是 编程 语言 饼 
风格 ， 这 就 与 在 Ptolemy II (Edwards and Lee, 2003 ) 和 ForSyDe ( Sander and Jantsch, 
2004) 中 一 样 。 这 允许 系统 中 的 “ 原 语 ”是 复杂 的 组 件 ， 而 不 是 内 置 的 语言 原 语 。 该 方 
法 允许 计算 模型 的 异 构 组 合 ， 因 为 复杂 组 件 本 身 可 能 就 是 由 其 他 计算 模型 下 的 某 些 子 组 
件 构成 的 。 





6.3 数据 流 计算 模型 
在 本 节 ， 我 们 来 关注 一 下 较 同步 响应 更 为 异步 的 这 些 计算 模型 ， 其 响应 可 能 会 同时 出 
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现 ， 也 可 能 不 会 ， 而 到 底 会 还 是 不 会 并 非 语 义 的 重要 组 成 部 分 。 关 于 何 时 出 现 响应 的 决策 可 
能 非常 分 散 ， 且 实际 上 可 能 取决 于 每 个 参 元 个 体 。 当 响应 依赖 于 另外 一 个 时 ， 这 种 依赖 常常 
是 由 数据 流 引 起 的 ， 而 不 是 因为 事件 的 同步 。 如 果 参 元 4 的 响应 依赖 参 元 8 的 响应 所 产生 
WHE, BAB IC A 的 响应 必须 在 参 元 B 的 响应 之 后 发 生 。 在 一 个 计算 模型 中 ， 当 这 样 的 
数据 依赖 是 响应 的 关键 约束 时 ， 该 模型 就 被 称 为 计算 的 数据 流 ( dataflow) 模型 。 数 据 流 计 
算 模型 的 变 体 非常 多 样 ， 这 里 我 们 仅 讨 论 其 中 的 一 部 分 。 


6.3.1 ”数据 流 原理 

在 数据 流 模型 中 ， 在 参 元 间 提 供 通信 的 信号 对 应 于 消息 的 序列 ， 每 个 消息 被 称 为 一 个 令 
牌 (token)。 也 就 是 说 ,信号 s AUN FERAJ (partial function). 

s$ R= p, 

其 中 ， 扩 是 信号 的 类 型 ， 信 号 定义 在 初始 片段 {0,1…,n} ENZE, 或 者 (对 于 无 限 执 
行 ) 在 整个 集合 N 上 。 该 序列 的 每 个 元 素 s(n) 是 一 个 令 牌 。 

一 个 (确定 性 ) 参 元 可 以 被 描述 为 一 个 将 输入 序列 映射 到 输出 序列 的 函数 。 实 际 
上 ， 我 们 将 使 用 两 个 函数 ， 一 个 是 将 整个 输入 序列 映射 到 整个 输出 序列 的 参 元 函数 ( actor 
function)， 另 一 个 是 将 输入 序列 的 有 限 部 分 映射 到 输出 序列 的 触发 函数 ， 如 下 例 所 示 。 


GID 如 下 参 元 具有 一 个 输入 和 一 个 输出 端口 。 


参 元 
r. s} 


BRHRAŽA JVR, Hike— Scale 参 元 ， 由 参数 a ERMAR, 57A 2.3 相 
似 ， 采用 a 来 乘 以 输入 ,那么 就 会 有 如 下 关系 。 
F(X, Xz, X3, ***) = (AX, AX, axs, ***) 
假设 当 该 参 元 触发 时 会 在 该 触发 中 执行 一 个 乘法 ， 那 么 ， 触 发 函数 仅 在 输入 序列 的 第 
一 个 元 素 上 操作 ， 如 下 式 所 示 。 
S Œn Xn X3 °°) =f (x1) = (a) 
输出 是 长 度 为 1 的 序列 。 


正如 在 之 前 示例 中 所 说 明 的 ， 参 元 函数 己 结 合 了 多 个 调用 触发 函数 了 的 效果 ， 而 且 可 以 
仅 使 用 参 元 输入 的 一 部 分 信息 来 调用 触发 函数 。 在 上 例 中 ， 如 果 在 输入 上 有 一 个 或 多 个 令 
有 牌 可 用 ， 就 可 以 调用 触发 函数 。 对 于 这 个 Scale 参 元 ， 需 要 一 个 令 牌 的 规则 被 称 为 触发 规则 
(firing rule)。 触 发 规则 指定 了 触发 响应 时 每 个 输入 上 所 需 提 供 令 牌 的 数量 。 

上 例 中 的 Scale 参 元 是 较为 简单 的 ， 因 为 触发 规则 及 触发 函数 不 发 生 改变 。 然 而 ， 并 非 
所 有 的 参 元 都 会 如 此 简单 。 


GID 再 未 看 一 个 不 同 的 参 元 Delay， 其 参数 为 d E 取 ， 参 元 函数 定义 如 下 。 
D(X, X2, Xis) = (d, X41, X25 X3, °°") 
该 参 元 预 置 了 一 个 值 为 d 的 令 牌 序列 。 参 元 有 两 个 触发 函数 d, 和 d,， 以 及 两 个 能 发 规 
则 。 第 一 个 触发 规则 不 需要 任何 输入 令 牌 ， 且 生成 长 度 为 1 的 输出 序列 ， 如 下 。 
di(s) = (d) 
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其 中 ,s 是 任意 长 度 的 序列 ， 包 括 零 长 度 序列 (序列 为 空 )。 初 始 时 ， 采 用 这 个 触发 规则 ， 
且 仅 使 用 一 次 。 

第 二 个 触发 规则 要 求 有 一 个 输入 令 牌 ， 并 被 用 于 
所 有 后 续 的 触发 ， 其 将 激发 如 下 的 触发 函数 。 

d, (xp 0) = (x1) 

该 触发 函数 表示 参 元 使 用 了 一 个 输入 令 牌 并 在 输 
出 上 产生 一 个 相同 的 令 牌 。 该 参 元 可 被 建 模 为 如 图 
6-7 所 示 的 状态 机 。 在 该 图 中 ， 触 发 规则 隐 含 于 这 些 
监督 条 件 中 ， 触 发 所 需 的 令 牌 正 是 评估 监督 条 件 所 需 图 6-7 示例 6.9 中 Delay 参 元 的 有 限 
的 令 牌 。 由 图 可 知 ， 触 发 函数 di 与 状态 sl 关联，d， 状态 机 模型 
与 状态 s2 相关 联 。 


当 数据 流 参 元 组 合 在 一 起 时 ， 一 个 参 元 的 输出 连接 到 另 一 个 参 元 的 输入 ， 其 通信 机 制 与 
本 章 之 前 所 述 的 计算 模型 有 着 很 大 的 差异 。 由 于 参 元 的 触发 是 异步 的 ， 从 一 个 参 元 到 另 一 个 
参 元 的 令 牌 就 必须 被 缓冲 存放 ; 也 就 是 说 ， 该 令 牌 需要 被 保存 起 来 ， 直 至 目标 参 元 使 用 该 令 
牌 。 当 目标 参 元 被 触发 时 ， 它 将 消耗 (consume) 一 个 或 多 个 输入 令 牌 。 而 一 个 令 牌 被 使 用 
之 后 ， 其 就 可 以 被 丢弃 (意味 着 存储 该 令 牌 的 存储 空间 可 被 用 于 其 他 用 途 )。 

数据 流 模 型 引出 了 一 些 有 意思 的 问题 。 一 个 问题 是 ， 如 何 保证 用 于 缓存 令 牌 的 存储 器 
是 有 界 的 。 一 个 数据 流 模 型 可 能 会 永远 运行 (或 者 运行 很 长 一 段 时 间 )， 被 称 为 无 限 执行 
(unbounded execution)。 对 于 一 个 无 限 执行 ， 我们 可 能 不 得 不 采取 措施 来 保证 未 使 用 令 牌 的 
缓存 不 会 在 可 用 存储 器 中 产生 溢出 。 


GIR 以 下 是 数据 流 参 元 的 一 个 级 联 组 合 。 
isn 


由 于 参 元 4 没有 输入 端口 ， 它 的 触发 规则 就 很 简单 ， 其 可 以 在 任何 时 间 人 触发。 假设 在 每 
一 个 触发 中 ， 参 元 4 会 生成 一 个 令 牌 。 那 么 ， 参 元 4 的 触发 速率 快 于 参 元 B 的 触发 速率 会 
发 生 什么 ? 这 个 快速 的 触发 会 导致 在 参 元 4 和 B 之 间 的 缓冲 区 上 产生 无 限 数 量 的 未 消耗 令 
牌 ， 并 将 最 终 耗 尽 可 用 的 存储 空间 。 


一 般 来 说 ， 对 于 可 以 无 限 执行 的 数据 流 模型 ， 我 们 将 需要 提供 有 界 缓冲 区 ( bounded 
buffer) 的 调度 策略 。 

第 二 个 可 能 出 现 的 问题 是 死 锁 ( Deadlock)。 当 存在 如 图 6-1 所 示 的 环 路 ， 且 一 个 有 向 
环 没 有 足够 的 令 牌 来 满足 环 路 中 这 些 参 元 的 任何 触发 规则 时 ， 就 会 产生 死 锁 。 示 例 6.9 的 
Delay 参 元 有 助 于 防止 死 锁 ， 因 为 它 能 够 在 没有 任何 输入 令 牌 可 用 时 产生 一 个 初始 输出 令 
牌 。 具 有 反馈 的 数据 流 模型 中 ， 每 一 个 环 路 中 通常 都 需要 有 一 组 Delay 参 元 (或 者 与 之 作用 
相似 的 某 些 参 元 ) 。 

对 于 通用 的 数据 流 模 型 ， 要 确定 模型 是 否 会 出 现 死 锁 ， 以 及 是 否 存在 有 界 缓冲 区 上 的 无 
限 执行 等 ， 都 是 非常 困难 的 。 实 际 上 ， 这 两 个 问题 都 是 不 可 判定 的 ， 这 就 意味 着 对 于 所 有 的 
数据 流 模 型 ， 并 不 存在 一 个 可 以 在 有 限时 间 内 进行 判定 的 算法 (Buck，1993 )。 幸 运 的 是 ， 
我 们 可 以 在 参 元 的 设计 中 引入 一 些 有 用 的 约束 ， 以 使 得 这 些 问 题 是 可 判定 的 。 接 下 来 ,我 们 
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对 这 些 约束 进行 探讨 。 
6.3.2 同步 数据 流 


同步 数据 流 ( SDF) 是 带 约束 的 数据 流 形式 。 在 该 类 数据 流 中 ， 对 于 每 一 个 参 元 ， 每 
个 触发 会 消耗 各 输入 端口 上 固定 数量 的 输入 令 牌 并 在 每 个 输出 端口 上 输出 固定 数量 的 令 牌 
(Lee and Messerschmitt, 1987). © 

如 图 6-8 所 示 参 元 4 和 B 是 单 连接 的 。 这 个 图 形 符 号 表示 ， 当 参 元 4 触发 时 ， 它 将 在 
输出 端口 生成 M 个 令 牌 ,而 当 参 元 8 触发 时 ， 其 将 消耗 输入 端口 上 的 个 令 牌 ，M 和 NN 都 
是 正 整数 。 假 设 参 元 4 触发 了 gy K, 目 参 元 8 触发 了 gs 次 。 那 么 ， 当 和 且 仅 当 式 (6.2) 所 
示 的 平衡 方程 (balance equation) 满足 时 ， 参 元 4 所 生成 的 所 有 令 牌 会 被 参 元 B 所 消耗 。 


图 6-8 ”同步 数据 流 参 元 4 每 次 触发 时 将 生成 M 个 令 牌 且 参 元 下 每 次 触发 时 消耗 N 个 令 牌 


q, M=q,.N (6.2) 

假定 qa 和 qs 满足 式 (6.2 )， 我 们 就 可 以 找 出 一 个 在 有 界 缓冲 区 上 进行 无 限 执行 的 调度 。 

这 样 一 个 调度 的 示例 是 : 参 元 4 重复 触发 gq 次 ， 之 后 参 元 B 重复 触发 qs 次 。 由 此 ， 可 以 永 
远 循环 地 执行 这 个 序列 ， 且 不 会 耗 尽 可 用 存储 空间 。 


GEER 侵 设 在 图 6-8 +, M=2, N=3, 4-3, q2, BEX (6.2)。 由 此 ， 如 下 调 
度 可 以 被 无 限 地 重复 : 
A, A,A,B,B 
或 者 ， 也 可 以 有 如 下 替代 调度 方案 : 
A, A, B, A, B 
实际 上 ， 第 二 个 调度 较 前 一 个 而 言 更 具 优 势 ， 因 为 其 需要 更 少 的 存储 空间 。 一 旦 有 了 足 
够 的 令 牌 ， 参 元 B 就 会 被 触发 ， 而 不 必 等 待 参 元 4 完成 它 的 整个 循环 。 
另 一 个 解决 方案 是 94=6 E qs=4。 该 解决 方案 包括 的 触发 比 保证 系统 平衡 所 严格 需要 的 
更 多 。 
该 方程 也 同样 可 以 被 94=0 和 qg=0 所 满足 ， 但 如 果 参 元 的 触发 数量 为 零 ， 就 不 会 进行 任 
何 有 意义 的 工作 。 显 然 ， 这 并 不 是 我 们 想 要 的 解 。 另 外 ， 负 的 解 也 不 是 我 们 所 期 望 的 。 
一 般 情况 下 ， 我 们 的 关注 点 在 于 为 平衡 方程 找 出 最 小 正 整 数 解 。 


在 一 个 更 为 复杂 的 同步 数据 流 模型 中 ， 参 元 之 间 的 每 个 连接 都 会 有 一 个 平衡 方程 。 由 
此 ， 该 模型 就 定义 了 一 个 方程 组 。 


< 四 6-9 纷 出 7 由 三 个 同步 数据 流 参 元 组 成 的 网 络 。 三 个 连接 x、) 与 了 共同 


O 尽管 使 用 了 “同步 数据 流 ” 这 一 术语 ， 但 在 同步 响应 的 意义 上 同步 数据 流 并 不 是 同步 的 。 在 同步 数据 流 模型 
中 不 存在 全 局 时 钟 ， 且 参 元 的 触发 是 异步 的 。 鉴 于 此 ， 有 些 作 者 使 用 了 静态 数据 流 (static dataflow) 一 词 而 
不 是 同步 数据 流 。 然 而 ， 这 并 不 能 避免 混淆 ， 因 为 Dennis (1974) 之 前 已 经 创造 出 “静态 数据 流 ” 一 词 来 表 
示 缓 冲 区 只 能 持 有 最 多 一 个 令 牌 的 数据 流 图 。 由 于 没有 办 法 来 避免 术语 上 的 冲突 ， 我 们 在 本 书 中 仍然 使 用 最 
初 的 “同步 数据 流 ” 一 词 。 需 要 说 明 的 是 ,“ 同 步 数 据 流 ” 一 词 源 于 信和 号 处 理 的 概念 ， 即 两 个 采样 速率 是 有 
理 数 倍数 关系 的 信和 号 被 认为 是 同步 的 。 
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形成 了 如 下 平衡 方程 组 。 
qd4™ Wr 
248= qc 
294= qc 
这 些 方程 的 最 小 正 整 数 解 是 qy=qg=1， 以 及 qc=2， 由 此 如 下 调度 可 以 无 限 地 循环 ， 从 而 
在 有 界 缓冲 区 上 得 到 一 个 无 限 执行 。 


A,B,C,C 
| =F 
2 y 1 


图 6-9 一 个 一 致 的 同步 数据 流 模 型 
这 些 平衡 方程 并 不 是 一 直 都 有 一 个 非 平凡 解 ， 如 下 给 出 一 个 示例 进行 说 明 。 


GEE a 6-10 给 出 了 由 三 个 参 元 构成 的 网 络 ， 这 些 平衡 方程 的 唯一 解 就 是 一 个 平 
凡 解 ，9gi=9gp=gc=0。 对 于 该 模型 ， 其 求解 的 结果 是 不 会 在 有 界 缓冲 区 上 进行 无 限 执行 ， 其 并 
不 能 保持 平衡 。 





2 I 
图 6-10 一 个 不 一 致 的 同步 数据 流 模型 


一 个 拥有 平衡 方程 组 非 零 解 的 同步 数据 流 模型 被 认为 是 一 致 的 (consistent)。 如 果 唯 一 
解 是 0 ， 那 么 该 模型 就 是 不 一 致 的 (或 矛盾 的 )。 一 个 不 一 致 的 模型 不 会 在 有 界 缓冲 区 上 无 
限 执行 。 

Lee 等 (1987 ) 证 明了 如 果 平 衡 方程 组 具有 一 个 非 零 解 ， 那么 它们 也 拥有 这 样 的 一 个 
解 ， 其 中 9 对 于 所 有 参 元 i 是 一 个 正 整数 。 另 外 ， 对 于 互 连 的 一 组 模型 (在 任意 两 个 参 元 之 
间 都 有 一 条 通信 和 路径)， 他 们 给 出 了 一 个 查找 最 小 正 整数 解 的 程序 。 这 样 的 程序 构成 了 同步 
数据 流 模 型 调度 器 的 基础 。 

一 致 性 足以 确保 有 界 的 缓冲 区 ， 但 是 ， 对 无 限 执行 而 言 却 是 不 够 的 。 特 别 是 存在 一 个 反 
馈 时 ， 如 图 6-1 所 示 ， 就 可 能 出 现 死 锁 ， 而 死 锁 又 限制 了 执行 。 

为 了 支持 反馈 ， 同 步 数据 流 模 型 对 Delay 参 元 进行 了 一 些 特定 的 处 理 。 回 顾 示例 6.9, 
Delay 参 元 可 以 在 它 接 收 到 任何 输入 令 牌 之 前 产生 输出 令 牌 ， 而 且 其 随后 表现 得 像 一 般 性 同 
步 数 据 流 参 元 一 样 ， 将 输入 拷贝 到 输出 。 但 是 ,这样 的 一 般 性 参 元 并 不 是 实际 所 需要 的 ， 而 
且 将 输入 拷贝 到 输出 的 开销 也 是 多 余 的 。Delay 参 元 可 以 被 高 效 地 实现 为 一 个 具有 初始 令 牌 
的 连接 (初始 令 牌 是 指 在 收 到 输入 之 前 参 元 可 以 生成 的 那些 令 牌 )。 实 际 上 运行 时 就 不 再 需 
要 参 元 了 ， 而 调度 器 必须 考虑 到 这 些 初始 令 牌 。 


GED 下 6-11 给 出 了 一 个 在 反馈 环 路 上 具有 初始 令 牌 的 同步 数据 流 模型 ， 其 替代 
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了 可 以 初始 生成 4 个 令 牌 的 Delay 参 元 。 相 应 地 ， 平 衡 方程 组 定义 如 下 。 
3q4=24 
2457344 
最 小 的 正 整 数 解 是 qi=2 和 9s=3， 所 以 该 模型 是 一 致 的 。 如 图 6-11 所 示 ， 当 反馈 连接 上 
有 4 个 初始 令 牌 时 ， 以 下 调度 就 可 以 一 直 重 复 。 
A, B, A,B, B 
然而 ， 如 果 初 始 令 牌 的 数量 少 于 4 个 ， 该 模型 就 会 死 锁 。 例 如 ， 假 定 只 有 3 个 令 牌 ， 那 
么 参 元 4 可 以 触发 ， 之 后 是 参 元 8B 触发， 但 在 随后 生成 的 缓冲 区 状态 下 ， 两 个 参 元 都 不 能 
被 再 次 触发 。 





初始 令 牌 
图 6-11 一 个 反馈 环 路 上 具有 初始 令 牌 的 同步 数据 流 模型 


除了 求解 平衡 方程 组 的 过 程 ，Lee 等 ( 1987 ) 还 给 出 了 另 一 个 过 程 ， 其 或 者 为 无 限 执行 
找到 一 个 调度 ， 或 者 证 明 这 样 的 调度 并 不 存在 。 因 此 ， 有 界 缓冲 区 和 死 锁 问题 对 于 同步 数据 
流 模 型 来 说 都 是 可 判定 的 。 


6.3.3 动态 数据 流 


尽管 保证 有 界 缓冲 区 以 及 排除 死 锁 的 能 力 是 非常 有 价值 的 ， 但 这 也 是 要 付出 代价 的 。 同 
步 数据 流 并 不 具有 足够 的 表达 能 力 ， 它 并 不 能 直接 表达 如 条 件 触发 (如 仅 当 一 个 令 牌 有 特定 
值 时 一 个 参 元 才 会 触发 )。 这 样 的 条 件 触发 是 由 一 个 更 通用 的 数据 流 计 算 模型 来 支持 的 ， 其 
被 称 为 动态 数据 流 (Dynamic Dataflow，DDF)。 与 同步 数据 流 参 元 不 同 ， 动 态 数 据 流 参 元 
可 以 拥有 多 个 触发 规则 ， 而 且 并 不 限定 在 每 个 触发 上 必须 要 生成 相同 数量 的 输出 令 牌 。 示 例 
6.9 中 的 Delay 参 元 是 由 动态 数据 流 计算 模型 直接 支持 的 ， 无 需 none ai 
对 初始 令 牌 进行 任何 特殊 处 理 。 被 称 为 Switch 和 Select 的 两 个 He 
基础 参 元 也 是 如 此 ， 如 图 6-12 所 示 。 

左 侧 的 Select 参 元 有 三 条 触发 规则 。 初 始 地 ， 其 需要 底部 输 图 6-12 动态 数据 流 参 元 
入 端口 上 存在 一 个 令 牌 。 该 端口 的 类 型 为 布尔 型 ， 因 此 令 牌 的 值 
必须 是 true 或 者 false。 如 果 该 端口 上 接收 到 了 一 个 值 为 true 的 令 牌 该 参 元 并 不 会 产生 输 
出 ， 而 是 激活 下 一 条 触发 规则 ， 此 时 要 求 左上 方 的 输入 端口 (标记 为 T) 要 有 一 个 令 牌 。 当 
该 参 元 下 次 被 触发 时 ， 它 将 消耗 了 端口 上 的 令 牌 ， 并 发 送 该 令 牌 至 输出 端口 。 如 果 底 部 输入 
端口 上 接收 的 令 牌 值 为 false， 该 参 元 激活 另 一 条 触发 规则 ， 其 要 求 左 下 方 输入 端口 F 上 要 
有 一 个 令 牌 。 当 使 用 了 这 个 令 牌 后 ， 它 再 一 次 将 该 令 牌 发 送 到 输出 端口 。 由 此 ， 该 参 元 必须 
触发 两 次 才 会 产生 一 个 输出 。 

Switch 参 元 执行 一 个 互补 功能 。 该 参 元 只 有 一 条 触发 规则 ， 其 在 两 个 输入 端口 上 只 要 求 
有 一 个 令 牌 。 左 侧 输入 端口 上 的 令 牌 将 被 发 送 到 输出 端口 T 或 FE， 这 取决 于 底部 输入 端口 所 
接收 令 牌 的 布尔 值 。 至 此 ， 参 元 Switch 和 Select 就 实现 了 令 牌 的 条 件 化 路 径 选 择 ， 由 以 下 
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示例 解释 说 明 。 


CUED 图 6-13 KA Switch 和 Select 参 元 来 实现 条 件 触发 。 参 元 B 生成 一 系列 布尔 
型 的 令 牌 x。 这 个 序列 由 fork 重复 ， 以 向 参 元 Switch 和 Select 分 别提 供 控制 输入 y》 和 z。 基 
于 这 些 序列 中 控制 令 牌 的 值 ， 参 元 4 生成 的 令 牌 被 发 送 到 参 元 C 或 者 D， 而 且 将 所 产生 的 
这 些 输出 聚集 起 来 发 送 到 参 元 EE。 这 个 模型 是 等 价 于 命令 式 语言 中 的 if-then-else 这 一 大 家 所 
熟悉 的 编程 结构 的 动态 数据 流 。 





* fork 


图 6-13 一 个 实现 条 件 触发 的 动态 数据 流 模型 


将 Switch 和 Select 参 元 添加 到 参 元 库 中 ， 意 味 着 我 们 不 再 总 是 能 够 找到 一 个 有 界 的 组 
冲 区 调度 ， 也 不 能 提供 模型 将 不 会 死 锁 的 保证 。Buck (1993) 已 经 证 明 有 界 的 缓冲 区 以 及 
死 锁 对 于 动态 数据 流 模型 而 言 是 不 可 判定 的 。 因 此 ， 为 了 增加 可 表达 性 和 灵活 性 ， 我 们 为 之 
付出 了 代价 。 显 然 ， 模 型 的 分 析 也 并 不 是 那么 容易 的 。 

Switch 和 Select 参 元 是 命令 式 语言 中 goto 语句 的 数据 流 模拟 。 它 们 通过 条 件 路 由 令 牌 
来 提供 对 执行 过 程 的 低级 控制 。 类 似 于 goto 语句 对 编程 的 影响 ， 使 用 这 些 参 元 可 能 会 产生 
非常 难以 理解 的 模型 。Dijkstra ( 1968 ) 指出 了 goto 语句 的 弊病 且 反 对 使 用 该 语句 ， 同 时 提 
倡 使 用 结构 化 编程 ( structured programming) RA. Aish sake PAREN for 循环 、if- 
then-else , do-while 以 及 递归 替代 了 goto 语句 。 幸 运 的 是 ， 结 构 化 编程 也 可 用 于 数据 流 模型 ， 
这 将 在 接 下 来 的 内 容 中 讨论 。 


6.3.4 结构 化 数据 流 


图 6-14 给 出 了 一 个 实现 条 件 触发 的 另 一 种 方式 ， 其 较 图 6-13 中 的 动态 数据 流 模型 具有 
诸多 优势 。 图 中 的 阴影 框 是 一 个 称 为 Conditional (条 件 ) 的 高 阶 参 元 (higher-order actor). 
一 个 高 阶 参 元 是 以 一 个 或 多 个 模型 作为 参数 的 参 元 。 在 该 图 的 示例 中 ，Conditional 由 两 个 
子 模型 参数 化 ， 其 中 一 个 包含 了 参 元 C， 男 一 个 则 包含 了 参 元 D。 当 Conditional 被 触发 时 ， 
其 从 每 个 输入 端口 上 获取 一 个 令 牌 并 在 输出 端口 上 生成 一 个 令 牌 ， 因 此 它 首 先 就 是 一 个 同步 
数据 流 参 元 。 然 而 ， 它 触发 时 所 执行 的 动作 取决 于 底部 输入 端口 上 的 令 牌 值 。 如 果 该 值 是 
true， 参 元 C 触发 ， 否 则 参 元 D 触发 。 

具有 条 件 触发 这 一 风格 的 数据 流 被 称 为 结构 化 数据 流 (structured dataflow)， 这 是 因为 
其 非常 像 结构 化 编程 ， 控 制 结构 是 分 层 嵌 套 的 。 结 构 化 数据 流 避 免 了 任意 数据 相关 的 令 牌 路 
由 (其 类 似 于 避免 使 用 goto 指令 的 任意 分 支 )。 另 外 ， 当 使 用 该 Conditional 参 元 时 ， 整 个 
模型 仍然 是 同步 数据 流 模型 。 在 图 6-14 所 示 的 例子 中 ， 每 一 个 参 元 在 其 各 个 端口 上 仅 获 取 、 
输出 一 个 令 牌 。 由 此 ， 该 模型 对 于 死 锁 和 有 界 的 缓冲 区 就 是 可 分 析 的 。 





Conditional 





图 6-14 ”结构 化 数据 流 方法 进行 条 件 触发 


NI 开发 的 设计 工具 LabVIEW 中 就 引入 了 这 一 结构 化 数据 流风 格 (Kodosky et al., 
1991 )。 除 了 一 个 类 似 于 图 6-14 中 的 条 件 触发 ，LabVIEW 还 提供 了 结构 化 数据 流 结构 ， 以 
支持 迭代 (类似 于 命令 式 语言 中 的 for 和 do-while 循环 )、case 语句 (其 有 任意 个 条 件 化 执行 
的 子 模型 )， 以 及 序列 (在 子 模型 的 有 限 集 合 上 循环 )。 使 用 结构 化 数据 流 也 可 实现 对 递归 的 
支持 (Lee and Parks, 1995 )， 但 由 于 缺少 严谨 的 约束 ， 有 界 性 再 次 成 为 不 可 判定 的 问题 。 


6.3.5 进程 网 络 


一 个 与 数据 流 模 型 紧密 联系 的 计算 模型 是 卡 恩 进程 网 络 (或 者 简单 地 称 为 进程 网 络 或 
PN)， 其 以 模型 的 提出 者 吉尔 卡 恩 ? 的 名 字 命 名 (Kahn, 1974). Lee 等 ( Lee and Parks, 
1995 ; Lee and Matsikoudis, 2009) 详细 地 研究 了 数据 流 与 进程 网 络 之 间 的 关系 ， 但 小 篇 幅 
的 论述 仍然 是 不 够 深入 的 。 在 进程 网 络 中 ， 每 个 参 元 在 它 自 己 的 进程 中 并 发 执行 。 也 就 是 
说 ， 进 程 网 络 参 元 并 不 是 由 触发 规则 和 和 触发 函数 来 定义 的 ， 而 是 由 一 个 从 输入 端口 读 取 数 据 
令 牌 并 向 输出 端口 写 数据 令 牌 的 (通常 不 终止 ) 程序 来 定义 的 。 所 有 这 些 参 元 都 在 同时 执行 
(从 概念 上 讲 ， 它 们 是 否 真 的 同时 执行 或 者 交错 执行 并 不 重要 )。 

在 最 初 的 论文 中 ，Kahn (1974) 在 参 元 上 给 出 了 非常 精炼 的 数学 条 件 ， 就 其 在 参 元 间 
每 个 连接 上 的 令 牌 序列 唯一 且 与 进程 如 何 调度 无 关 的 意义 上 ， 保 证 了 该 类 参 元 的 网 络 是 确定 
性 的 。 为 此 ，Kahn 证 明了 在 不 存在 非 确定 性 时 进行 并 发 执行 是 可 能 的 。 

之 后 ，Kahn 和 MacQueen (1977) 给 出 了 更 为 简单 易 行 的 程序 机 制 ， 其 确保 数学 条 件 
得 到 满足 以 保证 确定 性 。 该 机 制 的 一 个 重要 部 分 是 无 论 进程 何 时 读 取 输 入 数据 ， 其 都 要 在 输 
入 端口 上 执行 阻塞 读 (blocking read)。 上 有 具体 来 说 ， 阻 塞 读 意味 着 如 果 一 个 进程 选择 通过 输 人 
端口 来 访问 数据 ， 它 将 发 出 一 个 读 请 求 并 阻塞 直至 数据 可 用 。 该 进程 不 能 测试 输入 端口 的 数 
据 可 用 性 ， 并 根据 数据 是 否 可 用 来 执行 条 件 分 支 ， 因 为 这 样 的 分 支 会 引入 调度 相关 行为 。 

阻塞 读 与 触发 规则 密切 相关 。 触 发 规则 指定 了 持续 的 计算 〈 采 用 一 个 新 的 触发 函数 ) 所 
需 的 令 牌 。 类 似 地 ， 阻 塞 读 指 定 了 持续 计算 〈 通 过 进程 的 持续 执行 ) 所 需 的 单个 令 牌 。 

当 一 个 进程 写 一 个 输出 端口 时 ， 它 执行 非 阻 塞 写 ( nonblocking write) 操作 ， 这 意味 着 
会 立即 写成 功 并 返回 。 该 进程 并 不 阻塞 等 待 接收 进程 就 绪 来 接收 数据 。 这 也 正 是 数据 流 计 算 
模型 中 输出 端口 的 写 入 方式。 由 此 ， 数 据 流 和 进程 网 络 之 间 的 差异 仅 在 于 ， 进 程 网 络 中 的 参 
元 并 没有 被 分 解 为 一 组 触发 函数 ， 而 是 被 设计 为 一 个 连续 执行 的 程序 。 
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有 趣 的 是 ，Kahn 和 MacQueen (1977 ) 将 进程 网 络 中 的 这 些 进 程 称 为 协 程 (coroutine， 
协同 程序 )。 一 个 例 程 (routine) 或 者 子 例 程 (subroutine) 是 一 个 由 其 他 程序 “调用 ”的 程 
序 片段 。 在 调用 者 片段 可 以 继续 执行 之 前 ， 子 例 程 保 持 执行 直至 完成 。 因 为 没有 调用 者 和 被 
调用 者 ， 进 程 网 络 模型 中 进程 间 的 交互 更 加 对 称 。 当 一 个 进程 执行 阻塞 读 操 作 时 ， 其 在 某 种 
意义 上 说 是 在 上 游 提 供 数据 的 进程 中 调用 一 个 例 程 。 类 似 地 ， 当 它 执行 写 操 作 时 ， 在 某 种 意 
义 上 是 在 下 游 处 理 数 据 的 进程 中 调用 一 个 例 程 。 但 是 数据 生产 者 与 消费 者 的 关系 较 使 用 子 例 
程 时 更 为 对 称 。 

正如 数据 流 一 样 ， 进 程 网 络 计 算 模 型 也 提出 了 关于 缓冲 区 有 限 性 和 死 锁 的 挑战 性 问题 。 
进程 网 络 足 以 表达 这 些 问题 是 不 可 判定 的 。 有 界 性 问题 的 一 个 优良 解 是 由 Parks (1995 ) 给 
出 的 ， 且 由 Geilen 等 人 (2003 ) 给 出 了 详细 论述 。 

一 个 有 意思 的 进程 网 络 变 体 中 会 执行 阻塞 写 ， 而 不 是 非 阻塞 写 。 也 就 是 说 ， 当 一 个 进 
程 写 输 出 端口 时 ， 它 会 阻塞 直至 接收 进程 准备 好 接收 数据 。 进 程 间 的 该 类 交互 被 称 为 会 合 。 
会 合式 交互 构成 了 许多 著名 的 进程 形式 化 体系 的 基础 ， 如 通信 顺序 进程 (Communicating 
Sequential Processes, CSP) (Hoare, 1978) 以 及 通信 系统 演算 (Calculus Of Communicating 
Systems,CCS)(Milner, 1980 )。 同 时 ， 它 也 形成 了 奥 卡 姆 编程 语言 (Galletly, 1996) 的 基础 ， 
在 20 世纪 80 年 代 和 90 年代， 该 语言 在 并 行 计算 机 编程 方面 取得 了 一 些 成 功 ， 

截至 目前 所 讨论 的 计算 的 同步 响应 模型 和 数据 流 模型 中 ， 时 间 因 素 发 挥 的 作用 非常 小 。 
在 数据 流 中 ， 时 间 没 有 发 挥 任何 作用 。 在 同步 响应 中 ， 计 算 在 全 局 时 钟 节拍 序列 的 每 一 个 节 
拍 上 同时 且 即 时 地 发 生 。 尽 管 “时 钟 ” 一 词 隐 含 了 时 间 的 作用 ， 但 实际 上 并 不 存在 。 在 同步 
响应 计算 模型 中 ， 重 要 的 是 序列 。 物 理 时 间 出 现在 哪些 节拍 与 计算 模型 并 不 相关 ， 其 仅 是 一 
个 节拍 的 序列 。 然 而 ， 很 多 建 模 任 务 要 求 具 有 更 加 清晰 的 时 间 概 念 ， 接 下 来 将 讨论 具有 时 间 
概念 的 计算 模型 。 


6.4 时 间 计 算 模 型 


对 于 信息 物理 融合 系统 ， 软 件 中 事件 的 发 生 时 间 可 能 非常 重要 ， 因 为 软件 与 物理 进程 之 
间 相 互 作用 。 本 节 将 讨论 一 些 明 确 涉及 时 间 的 并 发 计算 模型 ， 主 要 讨论 三 个 时 间 计 算 模 型 ， 
其 每 一 个 又 都 有 诸多 变 体 。 本 部 分 的 阐述 并 不 深入 ， 要 深入 学 习 这 些 计算 模型 需要 参考 更 多 
内 容 。 


6.4.1 时 间 触 发 模型 


Kopetz 和 Grunsteidl ( 1994 ) 基于 测量 时 间 流 逝 的 分 布 式 时 钟 ， 提 出 并 引入 了 周期 性 触 
发 分 布 式 计算 的 机 制 ， 其 研究 结果 是 一 个 称 为 时 间 触 发 架构 (Time-Triggered Architecture, 
TTA) 的 系统 体系 结构 。 该 研究 的 主要 贡献 在 于 阐明 了 一 个 时 间 触 发 架构 如 何 能 够 容忍 某 些 
类 型 的 失效 ， 从 而 使 系统 中 某 个 部 分 的 失效 不 会 影响 其 他 部 分 中 的 行为 ( 见 Kopetz (1997), 
Kopetz and Bauer (2003))。Henzinger 等 ( 2003 ) 将 时 间 触 发 架构 的 关键 思想 提升 到 编程 语 
言 层 次 ， 进 而 为 建 模 分 布 式 时 间 触 发 系统 提供 了 良好 定义 的 语义 。 从 那 时 起 ， 这 些 技术 就 开 
始 被 运用 到 安全 依 关 航 电 系统 及 汽车 系统 等 实际 应 用 的 设计 中 ， 并 成 为 诸多 标准 (如 由 汽车 
公司 财团 开发 的 网 络 化 标准 FlexRay 等 ) 中 的 关键 组 成 部 分 。 

因为 存在 一 个 用 于 协调 计算 的 全 局 时 钟 ， 因 此 一 个 时 间 触 发 的 计算 模型 与 同步 响应 相 
似 。 但 不 同 的 是 ， 计 算 需 要 花费 时 间 ， 也 并 非 是 同时 且 即 时 的 。 具 体 而 言 ， 时 间 触 发 的 计算 
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模型 为 一 个 计算 关联 了 一 个 逻辑 执行 时 间 。 计 算 的 输入 是 在 全 局 时 钟 的 节拍 上 提供 的 ， 而 输 
出 在 直到 全 局 时 钟 的 下 一 个 节拍 到 来 前 对 于 其 他 计算 是 不 可 见 的 。 在 两 个 节拍 之 间 ， 计 算 之 
间 没 有 交互 ， 因 此 ， 诸 如 竞 态 条 件 等 并 发 难题 也 就 不 复 存 在 。 由 于 这 些 计算 并 不 是 Eh) 
即时 的 ， 使 用 反馈 也 就 没有 困难 ， 而 且 所 有 模型 都 是 可 推定 的 。 

MathWorks 公司 的 Simulink 建 模 系统 支持 时 间 触 发 的 计算 模型 ， 而 且 与 男 一 款 称 为 
Real-Time Workshop 的 工具 配合 起 来 ， 就 可 以 将 该 类 模型 翻译 为 能 人 式 C 代码 。 在 NI 公司 
的 LabVIEW 中 ， 定 时 循环 在 数据 流 计 算 模 型 中 也 实现 了 类 似 功 能 。 

在 最 为 简单 的 形式 中 ， 一 个 时 间 触 发 模型 指定 了 在 时 钟 节拍 之 间 具 有 固定 时 间 间 隅 〈 即 
周期 ) 的 周期 性 计算 。Giotto ( Henzinger et al., 2003) 支持 模 态 模型 ， 在 不 同 的 模式 下 周期 
可 以 有 所 不 同 。 一 些 研究 人 员 将 逻辑 执行 时 间 的 概念 进一步 扩展 到 了 非 周 期 系统 (Liu and 
Lee, 2003; Ghosal et al., 2004 ) 。 

时 间 触 发 模型 在 概念 上 是 非常 简单 的 ， 但 实际 上 计算 都 与 一 个 周期 性 的 时 钟 紧密 绑 定 。 
当 响 应 并 非 周期 性 时 ， 模 型 就 会 变 得 不 再 适用 。 下 节 要 讨论 的 离散 事件 系统 将 会 包括 一 个 更 
为 丰富 的 时 序 行 为 集合 。 


Petri 网 
以 德国 数学 家 、 信 息 学 家 Carl Adam Petri 名 字 命 名 的 Petri 网 是 一 个 与 数据 流 
相关 的 常用 形式 化 建 模 机 制 。Petri 网 拥有 两 种 类 型 的 元 素 ， 即 库 所 (place) 和 变迁 
(transition) 8 ， 分 别 由 下 图 中 的 圆 和 矩形 表示 。 


库 所 
变迁 EV A 
| 
库 所 O Ce) 


触发 前 标记 | 触发 后 标记 


一 个 库 所 可 以 包含 任意 数量 的 令 牌 ， 如 黑 园 所 示 。 如 果 连 接 到 一 个 变迁 的 所 有 输入 
库 所 都 包含 了 至 少 一 个 令 牌 ， 那么 这 个 变迁 就 被 使 能 (enabled)。 一 旦 一 个 变迁 被 使 能 ， 
它 就 可 以 触发 ( fire)， 从 每 个 输入 库 所 消耗 一 个 令 牌 并 且 为 每 一 个 输出 库 所 放置 一 个 令 
牌 。 一 个 网 络 的 状态 称 为 网 络 的 标记 ( marking)， 是 网 络 中 每 个 库 所 上 令 牌 的 数量 。 上 
图 呈现 了 一 个 简单 的 网 络 ， 其 具有 触发 变迁 之 前 和 之 后 的 标记 。 如 果 网 络 中 存在 库 所 给 
多 个 变迁 提供 输入 的 情况 ， 那 么 该 网 络 就 是 非 确定 性 的 。 该 库 所 上 的 一 个 令 牌 可 以 触发 
任何 一 个 目标 变迁 。 

图 6-15 给 出 了 一 个 Petri 网 模型 的 例子 ， 其 建 模 了 使 用 互 斥 协议 的 两 个 并 发 程序 。 
每 个 程序 都 有 一 个 临界 区 ， 这 表示 在 任何 时 刻 仅 可 以 有 一 个 程序 进入 其 临界 区 。 在 该 模 
型 中 ， 如 果 库 所 a2 上 有 一 个 令 牌 ， 那 么 程序 A 在 它 的 临界 区 中 ， 同 时 ， 如 果 库 所 bl 上 
有 一 个 令 牌 ,程序 B 就 在 其 临界 区 中 。 互 斥 协 议 的 功能 就 是 保证 这 两 个 库 所 不 能 同时 拥 
FAIR, 

若 如 图 6-15 所 示 为 模型 的 初始 标记 ， 那 么 两 个 顶部 的 变迁 都 被 使 能 ， 但 只 有 一 个 可 
以 触发 ( 仅 有 一 个 令 牌 在 标记 为 mutex 的 库 所 中 )， 选 择 触 发 哪 一 个 变迁 是 非 确 定性 的 。 





O ”等 价 于 之 前 所 翻译 的 “迁移 ”。 一 一 译 者 注 
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假设 程序 A 触发 ， 那 么 在 触发 后 库 所 a2 中 将 有 一 个 令 牌 ， 底 部 的 相应 变迁 变 为 使 能 。 
一 旦 该 变迁 触发 ， 模 型 返回 到 其 初始 标记 。 很 显然 ， 模 型 中 的 互 斥 协议 是 正确 的 。 

与 数据 流 缓冲 区 不 同 ， 库 所 并 不 保留 令 牌 的 顺序 。 具 有 有 限 标记 数量 的 Petri 网 等 价 
于 有 限 状 态 机 。 


图 6-15 ”使 用 互 斥 协议 的 两 个 并 发 程序 的 Petri 网 模型 


时 间 模 型 

如 何 来 建 模 物理 时 间 是 非常 有 意思 且 令 人 关注 的 。 我 们 应 该 如 何 定 义 跨越 某 个 分 布 
式 系 统 的 同时 性 ? Galison (2003) 给 出 了 关于 该 问题 的 深入 讨论 。 那 么 ， 这 对 一 个 事 
件 触发 另 一 个 事件 又 意味 着 什么 ? 一 个 事件 能 与 它 所 引起 的 事件 同时 发 生 吗 ? Price 和 
Corry (2007) 列 出 了 一 些 对 该 主题 进行 深入 探讨 的 文章 。 

在 第 2 章 ， 我 们 假设 时 间 由 变量 1 EE 限 或 1 E 腿 ,来 表示 ， 这 个 模型 有 时 被 称 为 牛顿 
时 间 (Newtonian time)。 模 型 假设 了 一 个 全 局 共享 的 绝对 时 间 ， 在 任何 位 置 对 变量 1 的 
任何 引用 都 将 产生 相同 的 值 。 即 使 该 时 间 并 未 很 好 地 反映 物理 现实 ， 这 个 时 间 概 念 也 常 
常用 于 建 模 ， 但 它 的 确 存在 不 足 。 以 牛顿 摆 (Newton's cradle) 为 例 ， 这 是 由 五 个 悬挂 
的 钢 球 组 成 的 一 套装 置 。 如 果 拿 起 并 释放 边 上 第 一 个 球 ， 它 击 打 第 二 个 球 且 该 球 并 不 移 
动 ， 反 而 是 第 五 个 球 会 弹 起 。 如 果 将 中 间 球 的 动量 看 作 时 间 的 函数 ， 由 于 中 间 的 球 不 发 
生 移 动 ， 因 此 它 的 动量 就 必须 一 直 为 零 。 但 是 ， 第 一 个 球 的 动量 一 定 是 以 某 种 方式 传递 
给 第 五 个 球 的 ， 传 输 过 程 中 也 肯定 经 过 了 中 间 的 三 个 球 ， 那 么 这 三 个 球 的 动量 就 不 应 该 
一 直 为 零 。 令 m : 恨 一 腿 表 示 该 球 的 动量 , t+ 是 碰撞 时 间 ， 对 于 所 有 的 1 ER, mA R 
可 被 定义 为 如 下 形式 。 

M #t=t 
0 ”其 他 


m(t)= { 


然而 ， 在 一 个 信息 物理 融合 系统 中 ， 我 们 可 能 想 要 在 软件 中 表示 该 函数 ， 这 种 情况 
下 将 会 需要 一 个 样本 的 序列 。 但 是 ， 这 样 的 样本 如 何 能 够 清晰 地 表示 这 个 信号 所 具有 的 
相当 特殊 的 结构 呢 ? 

一 个 选择 是 使 用 超 密 时 间 ( superdense time) ( Manna and Pnueli, 1993; Maler et al., 
1992; Lee and Zheng, 2005; Cataldo et al., 2006 )， 此 时 时 间 被 表示 为 一 个 集合 及 xN,， 而 
不 是 及 。 一 个 时 间 值 是 一 个 元 组 (1t, n), 其 中 t 表 示 牛 顿时 间 ，,n 表示 一 个 瞬间 的 序列 索 
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引 。 在 这 种 表示 方法 中 ， 中 间 球 的 动量 可 以 被 清晰 地 表示 为 一 个 序列 ， 其 中 mr, 0)=0, 
m(t, 1)=M, UA m(t, 2)=0。 这 样 的 表示 也 可 以 处 理 同时 和 即时 发 生 的 事件 ， 但 其 也 应 是 
因果 相关 的 。 


另 一 个 选择 是 偏 序 时 间 (partially ordered time)， 这 表示 两 个 时 间 值 中 的 一 个 对 其 中 
的 另 一 个 可 能 有 也 可 能 没有 顺序 。 当 在 它们 之 间 有 一 个 因果 关系 链 时 ， 它 们 必须 是 有 序 
的 ， 否 则 就 不 必 有 序 。 





6.4.2 ”离散 事件 系统 


数 十 年 来 ， 离 散 事件 系统 ( Discrete-Event system, DE 系统 ) 已 被 用 于 为 各 种 各 样 的 应 
用 构建 模拟 系统 ， 包 括 数字 网 络 、 国 防 系统 与 经 济 系统 等 。DE 模型 的 形式 化 机 制 最 早 是 由 
Zeigler (1976) 提出 的 ， 其 将 该 形式 化 机 制 称 为 DEVS (离散 事件 系统 规格 ，discrete event 
system specification), DEVS 是 摩尔 型 状态 机 的 一 个 扩展 ， 其 将 每 个 状态 与 一 个 非 零 生命 
周期 相关 联 ， 从 而 给 摩尔 型 状态 机 显 式 地 赋予 了 一 个 时 间 流 逝 的 概念 〈 与 一 个 响应 序列 相 
对 应 )。 

离散 事件 计算 模型 的 关键 思想 是 要 为 事件 打上 时 间 改 《time stamp)， 即 某 个 时 间 模 型 的 
值 〈 参 见 “ 时 间 模 型 ”注解 栏 )。 通 常情 况 下 ， 两 个 不 同 的 时 间 戳 必须 具有 可 比 性 。 也 就 是 
说 ， 它 们 要 么 相等 ， 要 么 一 个 比 另 一 个 更 早 。 一 个 离散 事件 模型 是 一 个 参 元 网 络 ， 其 中 的 每 
个 参 元 按照 时 间 惟 顺序 来 响应 输入 事件 并 产生 输出 事件 。 


GRID 示例 6.1 中 周期 为 己 的 时 钟 信号 由 具有 时 间 戳 nP (n E Z) 的 事件 组 成 。 


为 了 执行 离散 事件 模型 ， 可 以 进一步 使 用 一 个 事件 队列 (event queue)， 该 队列 对 应 了 按 
照 时 间 戳 排序 的 事件 列表 ， 且 该 列表 一 开始 为 空 。 网 络 中 的 每 个 参 元 会 被 询问 任何 其 希望 添 
加 到 事件 队列 的 初始 事件 。 这 些 事件 可 能 被 分 发 到 另 — 个 参 元 ， 或 者 分 发 给 该 参 元 自己 ,在 
这 种 情形 下 它们 将 在 合适 的 时 间 触 发 参 元 产生 一 个 响应 。 进 而 ， 通 过 选取 事件 队列 中 时 间 最 
早 的 事件 以 及 确定 哪 一 个 参 元 应 该 接收 该 事件 ， 从 而 使 得 系统 持续 执行 。 对 于 参 元 而 言 ， 事 
件 的 值 (如 果 有 ) 就 是 它 的 输入 ， 且 该 参 元 对 其 进行 响应 (“触发”)。 响 应 又 能 生成 输出 事 
件 ， 以 及 只 要 求 该 参 元 在 之 后 某 个 特定 时 间 截 进行 触发 的 事件 。 

在 这 一 点 上 ， 离 散 事件 计算 模型 的 变 体 就 会 表现 出 不 同 的 行为 。 有 些 变 体 ， 如 DEVS, 
要 求 由 参 元 生成 的 输出 有 一 个 严格 大 于 输入 时 间 的 时 间 鹤 。 从 系统 的 观点 来 看 ， 每 个 参 元 都 
会 引入 一 些 非 零 的 延迟 ， 因 为 其 对 其 他 参 元 可 见 的 响应 (输出 ) 时 间 严 格 地 晚 于 触发 该 响应 
的 输入 时 间 。 还 有 一 些 变 体 允 许 参 元 生成 与 输入 具有 相同 时 间 戳 的 输出 事件 ， 也 就 是 说 ， 它 
们 是 可 以 即时 响应 的 。 正 如 计算 的 同步 响应 模型 ， 该 类 即时 响应 可 能 会 产生 一 些微 妙 的 问 
题 ， 因 为 其 输入 与 输出 是 同时 的 。 

通过 将 离散 事件 当 作 同步 响应 的 泛 化 ， 可 以 解决 这 些 由 同时 事件 引入 的 问题 ( Lee and 
Zheng，2007 ) 。 在 离散 事件 语义 的 这 个 变 体 中 ,我 们 再 一 次 使 用 一 个 事件 队列 并 就 放置 到 
队列 的 初始 事件 询问 这 些 参 元 ， 那 么 其 执行 过 程 如 下 : 从 队列 中 选择 时 间 惟 最 小 的 事件 ， 以 
及 其 他 所 有 具有 相同 时 间 惟 的 事件 ， 将 这 些 事件 作为 输入 提供 给 模型 中 的 参 元 ; 然后 ， 以 可 
推定 的 不 动 点 迭代 的 方式 触发 所 有 参 元 ， 这 个 过 程 与 同步 响应 相同 。 在 这 些 语义 的 这 一 变 体 
中 ， 参 元 生成 的 任何 输出 必须 与 输入 同时 发 生 (具有 相同 的 时 间 蕉 )， 由 此 ， 它 们 将 参与 到 
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该 不 动 点 中 。 如 果 该 参 元 要 在 晚 些 的 某 个 时 间 生 成 一 个 输出 事件 ， 那 么 它 之 后 就 要 请 求 这 样 
一 个 触发 (这 会 导致 在 事件 队列 上 的 事件 发 布 )。 


延伸 探讨 : 离散 事件 语义 

计算 的 离散 事件 模型 是 多 年 来 一 直 被 研究 的 主题 ， 且 已 有 一 些 可 供 参 考 的 书籍 和 文 
ak ( Zeigler et al., 2000; Cassandras, 1993; Fishman, 2001 ) 。 不 同 模型 语义 中 的 差别 也 是 
非常 大 的 (Lee，1999; Cataldo et al., 2006; Liu et al.，2006; Liu and Lee，2008 )。 这 里 
我 们 描述 一 个 离散 事件 模型 如 何 运行 ， 而 不 是 讨论 其 形式 化 语义 。 实 际 上 ， 这 样 的 描述 
是 给 出 模型 语义 的 一 个 有 效 方式 ， 其 被 称 为 操作 语义 ( operational semantics) ( Scott and 
Strachey, 1971; Plotkin, 1981 ) 。 

离散 事件 模型 通常 相当 庞大 也 相当 复杂 ， 因 此 其 执行 性 能 就 变 得 非常 重要 。 由 于 


使 用 了 单 事件 队列 ， 离 散 事件 模型 的 并 行 化 或 分 布 式 执行 就 会 存在 挑战 (Misra, 1986; 
Fujimoto, 2000 )。 近 期 提出 的 一 个 策略 是 PTIDES (Programming Temporally Integrated 
Distributed Embedded Systems， 时 间 可 编程 的 嵌入 式 分 布 系统 ) 98， 其 利用 网 络 时 间 同 步 
来 提供 有 效 的 分 布 式 执 行 (Zhao et al., 2007; Lee et al., 2009 ) 。 一 个 论断 是 : 执行 足够 有 
效 时 ， 离 散 事件 不 仅 可 以 被 用 作 模 拟 技术 ， 而 且 可 以 被 用 作 实 现 技 术 。 也 就 是 说 ， 离 散 
事件 的 事件 队列 和 执行 引擎 成 为 所 部 署 嵌入 式 软 件 的 组 成 部 分 。 至 写作 本 书 时 为 止 ， 该 
论断 还 没有 在 任何 实际 例子 中 被 证 明 。 





6.4.3 ”时间 连续 系统 


在 第 2 章 ， 我 们 基于 常 微分 方程 (ODE) 讨论 了 时 间 连 续 系统 的 模型 。 具 体 地 ， 我 们 讨 
论 了 如 下 形式 的 方程 : 


X(t) = f(x), 1) 


其 中 x E R> R” #—‘ Ie) BAT E% (vector-valued continuous-time function), 
该 方程 的 等 价 模型 是 式 (6.3) 和 式 (6.4) 所 示 的 积分 方程 。 


x(t) = x(0)+ f X(r)dr (63) 


= x(0)+ | f(x(n),r)dr (6.4) 


在 第 2 章 我 们 已 经 前 明 ， 由 该 常 微 分 方程 给 出 的 系统 模型 可 以 被 描述 为 参 元 的 互连网 
络 ， 参 元 间 的 通信 采用 了 时 间 连 续 信号 。 方 程 (6.4) 可 以 被 表示 为 如 图 6-16 所 示 的 互 连 关 
系 ， 与 图 6-1d 中 的 反馈 模式 相 一 致 。 
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图 6-16 sh (6.4) 描述 的 系统 参 元 模型 


日 实际 上 也 是 一 种 面向 嵌入 式 分 布 实时 系统 的 编程 模型 。 一 一 译 者 注 
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GRD 四 2-3 的 反馈 控制 系统 使 用 了 示例 2.3 中 的 直升机 模型 。 该 系统 可 以 被 重新 
设计 为 如 图 6-17 所 示 形 式 ， 其 与 图 6-16 所 示 的 模式 相 一 致 。 在 这 种 情况 下 ,x=0, 是 一 个 
标量 值 的 时 间 连 续 函 数 (或 者 一 个 长 度 为 1 的 向 量 )。 函 数 / 的 定义 以 及 积分 器 的 初 值 分 别 
如 下 : 


FED, Ð = (K/L )(W)-x() 
x(0) = 8, (0) 





图 6-17 对 图 2-3 反馈 控制 系统 的 重新 设计 
实际 上 ， 这 样 的 模型 是 一 个 在 时 间 连 续 计 算 模 型 上 的 参 元 组 合 。 不 像 之 前 的 计算 模型 ， 
这 个 时 间 连 续 计算 模型 不 能 在 数字 计算 机 上 严格 地 执行 。 数 字 计 算 机 不 能 直接 处 理 连续 时 
间 ， 但 它 可 以 被 近似 ， 而 且 通 常 都 是 非常 精确 的 。 
时 间 连 续 模 型 的 近似 执行 可 由 一 个 解 算 器 (solver) 来 实现 ， 其 对 常 微分 方程 的 解构 造 
一 个 近似 值 。 解 算 器 的 算法 研究 已 经 非常 悠久 了 ， 且 使 用 了 19 世纪 的 一 些 常 用 技术 。 这 里 ， 
我 们 将 只 关注 解 算 器 中 最 为 简单 的 、 被 称 为 前 向 欧 拉 (forward Euler) 的 解 算 器 。 
前 向 欧 拉 解 算 器 估计 时 间 点 0, A, 2h, 3h, … 上 x 的 值 ， 其 中 及 被 称 为 步 长 (step size). 
进而 ， 采 用 积分 以 如 下 方式 进行 盘 近 。 
x(h) = x(0) + hf (x(0), 0) 
x(2h) = x(h) + hf (x(h), h) 
x(3h) = x(2h) + hf (x(2h), 2h) 


x((k+ 1)h) = x(kh) + hf (x(kh), kh) 

图 6-18a 给 出 了 这 个 过 程 , x 的 “真实 ” 值 被 绘制 为 时 间 的 函数 。x(D 的 真实 值 是 0 到 
1 区间 曲 线 下 的 面积 与 初 值 x(0) 的 和 。 在 算法 的 第 一 步 ， 面 积 的 增 量 近似 于 宽度 为 h 且 高 度 
为 f(x(0), 0) 的 矩形 的 面积 。 该 增 量 对 x(h) 产生 一 个 估计 ， 其 可 被 用 于 计算 x(h) = 了 (x(h), h), 
即 第 二 个 矩形 的 高 度 。 以 此 类 推 。 

可 以 看 到 ， 近 似 误差 会 随 着 时 间 积 累 ， 我 们 可 以 通过 两 种 关键 技术 来 有 效 地 改善 算法 。 
第 一 ， 可 变 步 长 的 解 算 器 ( variable-step solver) 将 基于 误差 来 改变 步 长 ， 以 使 得 误差 减 小 。 
第 二 ， 更 为 复杂 的 解 算 器 将 采用 曲线 的 斜率 ， 并 使 用 图 6-18b 所 给 出 的 梯形 通 近 方法 。 该 类 
解 算 器 被 称 为 Runge-Kutta ( 龙 格 - 库 塔 ) 解 算 器 ， 且 已 得 到 广泛 使 用 。 但 就 我 们 在 这 里 的 
目标 而 言 ， 使 用 什么 样 的 解 算 器 并 不 是 主要 问题 。 更 为 重要 的 还 有 以 下 两 点 :( a) 解 算 器 确 
EFK; (b) 在 每 一 步 ， 解 算 器 执行 某 些 计 算 来 更 新 积分 的 近似 值 。 

当 使 用 这 样 一 个 解 算 器 时 ， 我 们 可 以 以 类 似 于 同步 响应 和 离散 事件 模型 的 方式 来 解释 图 
6-16 所 示 的 模型 。f 参 元 是 无 记忆 的 ， 因 此 ， 它 只 是 执行 一 个 计算 来 生成 仅 与 输入 和 当前 时 
间 相 关 的 输出 。 积 分 器 是 一 个 状态 机 ， 解 算 器 则 基于 输入 来 确定 应 该 在 每 个 响应 中 对 状态 机 
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的 状态 做 怎样 的 更 新 。 另 外 ， 因 为 状态 变量 x(t) 是 一 个 实数 向 量 ， 该 状态 机 的 状态 空间 也 就 
是 无 限 的 。 


f (x(n), D 





b) 
图 6-18 a) 为 式 (6.4 ) 中 积分 的 前 向 欧 拉 近似 ，b) 为 采用 可 变 步 长 和 曲线 斜率 的 更 好 近似 


由 此 ， 一 个 时 间 连 续 模 型 可 以 被 看 作 一 个 在 全 局 响应 之 间 由 解 算 器 决定 时 间 步 的 同步 响 
应 模型 ( Lee and Zheng，2007 )。 确 切 地 讲 ， 一 个 时 间 连 续 模 型 就 是 一 个 参 元 网 络 ， 其 中 每 
个 参 元 是 简单 无 记忆 的 计算 参 元 和 一 个 状态 机 的 级 联 组 合 ， 而 且 参 元 的 响应 是 同时 和 即时 
的 。 响 应 的 时 间 由 解 算 器 决定 。 解 算 器 通常 会 询问 参 元 以 确定 时 间 步 ， 从 而 使 得 类 似 于 跨越 
能 级 ( 当 一 个 连续 信号 越过 一 个 能 级 阔 值 时 ) 的 事件 可 以 被 精确 地 捕获 。 所 以 ,尽管 有 必须 
提供 一 个 解 算 器 这 样 的 额外 复杂 度 ， 但 实现 一 个 时 间 连 续 计算 模型 所 要 求 的 机 制 与 实现 同步 
响应 和 离散 事件 所 需要 的 机 制 并 没有 太 多 差异 。 

使 用 时 间 连 续 计 算 模 型 的 一 个 主流 软件 工具 是 MathWorks 的 Simulink, Simulink 以 
类 似 于 方块 图 的 方式 来 表示 模型 ， 其 给 出 了 参 元 的 互 连 。 时 间 连 续 模 型 也 可 以 通过 使 用 
MathWorks 的 文本 工具 MATLAB 来 进行 模拟 。 另 外 ，NI 的 MATRIXx 也 可 以 支持 图 形 化 的 
时 间 连 续 建 模 。 时 间 连 续 模型 同样 可 以 被 集成 到 LabVIEW 模型 中 ， 或 者 采用 基于 控制 设计 
与 仿真 模块 的 图 形 化 方式 ， 或 者 使 用 编程 语言 MathScript 的 文本 方式 。 


6.5 人 小结 


本 章 围绕 并 发 计算 模型 这 一 相当 庞大 的 主题 开展 了 一 次 “旋风 之 旅 " 。 本 部 分 内 容 以 同 
步 响应 模型 为 开端 ， 就 如 上 一 章 所 讨论 的 ， 该 模型 非常 接近 于 状态 机 的 同步 组 合 。 之 后 我 们 
讨论 了 数据 流 ， 其 允许 执行 更 加 松散 的 协同 执行 ， 且 只 要 求 数据 优先 级 对 参 元 计算 顺序 施加 
约束 。 最后， 本 章 简 要 阐述 了 一 些 明确 包含 时 间 概 念 的 计算 模型 这 些 计 算 模 型 对 于 信息 物 
理 融合 系统 的 建 模 非 常 有 用 。 


习题 
1. 请 说 明 ， 通 过 使 用 类 似 于 图 6-1b 的 结构 形式 ， 如 何 使 得 以 下 每 个 参 元 模型 可 以 转换 为 一 个 反馈 系 
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统 。 也 就 是 说 ， 这 些 参 元 应 该 被 聚合 为 单个 的 平行 组 合 参 元 。 


2. 如 果 以 下 状态 机 是 一 个 同步 反馈 组 合 ， 那 么 : 
(a) 该 组 合 是 形式 良好 的 吗 ? 是 不 是 可 推定 的 ? 
(b) 如 果 它 是 形式 良好 且 是 可 推定 的 ， 请 为 前 10 个 响应 找 出 输出 符号 。 如 果 不 是 ， 请 解释 问题 出 在 
a 





3. 对 于 以 下 同步 模型 ， 请 确定 其 是 否 为 形式 良好 且 可 推定 的 ， 如 果 是 ， 请 确定 信号 % Al 取 值 的 序列 。 





4. 对 于 如 下 同步 模型 ， 请 确定 其 是 否 为 形式 良好 且 可 推定 的 ; 如 果 是 ， 请 确定 信号 s, Ms, 值 的 可 能 序 
列 。 请 注意 ， 状 态 机 4 是 非 确定 性 的 。 


输入 : x: pure 
输出 : y: pure 





5; 


6. 


— 


oo 


oO 
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(a) 请 确定 如 下 同步 模型 是 否 为 形式 良好 且 可 推定 的 。 
(b) 通过 设计 一 个 等 价 的 、 没 有 输入 且 具 有 两 个 输出 的 扁平 状态 机 来 给 出 该 模型 的 语义 。 


输入 : x,w: pure 
输出 : yz: pure 





结合 如 下 同步 反馈 组 合 ， 请 回答 以 下 问题 。 注 意 ， 有 限 状 态 机 4 是 非 确定 性 的 。 
(a) 该 组 合 是 形式 良好 的 吗 ? 是 否 为 可 推定 的 ? 请 解释 原因 。 
(b) 给 出 一 个 等 价 的 扁平 有 限 状 态 机 (没有 输入 也 没有 连接 )， 其 可 以 产生 完全 相同 的 可 能 序列 wo 


输入 : x: pure 
输出 : y: pure 










. 回顾 图 3-10 中 的 交通 灯 控制 器 。 考 虑 将 该 控制 器 的 输出 与 行人 交通 灯 控 制 器 (其 有 限 状 态 机 如 图 


5-10 所 示 ) 相连 。 请 使 用 你 所 擅长 的 状态 机 建 模 软件 (如 Ptolemy II, LabVIEW Statecharts ， 或 者 
Simulink/Stateflow) 来 构造 这 两 个 有 限 状态 机 的 组 合 ; 请 基于 一 个 确定 性 扩展 状态 机 来 建 模 环境 并 
生成 输入 信号 timeR, timeG, timeY 和 isCar。 例 如 ， 环境 有 限 状 态 机 可 以 使 用 一 个 内 部 计数 器 来 决 
定 何 时 产生 这 些 信号 。 


. 考虑 如 下 同步 数据 流 模型 ， 端 口上 的 标号 说 明了 参 元 触发 时 所 产生 或 所 消耗 的 令 牌 数量 。 请 回答 如 


下 问题 。 


(a) S qa, qs 和 9c 分 别 表示 参 元 A、B、C 触发 的 数量 。 写 出 平衡 方程 并 找 出 其 最 小 正 整数 解 。 
(b) 为 无 限 执行 找 出 一 个 调度 ， 最 小 化 两 个 通信 通道 上 缓冲 区 的 大 小 。 求 得 的 缓冲 区 大 小 是 多 少 ? 


. 对 于 如 下 各 个 数据 流 模 型 ， 确 定 在 有 界 缓冲 区 上 是 和 否 存在 一 个 无 限 执行 。 如 果 存 在 ， 请 确定 最 小 组 


冲 区 大 小 。 
(a) 


(b) 其 中 是 某 个 整数 。 
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(c) 其 中 D 输出 一 个 任意 的 布尔 序列 。 





(d) 对 于 (c) 中 的 数据 流 模 型 ， 假 设 可 以 指定 D 生成 一 个 周期 性 的 布尔 型 输出 序列 ， 请 找 出 一 个 产 
生 有 界 缓冲 区 的 序列 ， 并 给 出 缓冲 区 大 小 最 小 的 调度 以 及 缓冲 区 的 大 小 。 
10. 有 如 下 所 示 的 同步 数据 流 图 ， 该 图 中 A、B、C 是 参 元 。 参 元 的 每 个 端口 上 的 标号 是 该 参 元 触发 时 
在 该 端口 上 消耗 或 生成 的 令 牌 数量 ， 其 中 入 和 M 是 取 值 为 正 整数 的 变量 。 假 设 变 量 w、x、y 以 及 
z 代表 其 所 在 连接 上 的 初始 令 牌 数量 ， 这 些 变 量 的 取 值 为 非 负 整数 ， 





(a) THES HN AM 的 一 个 简单 关系 ， 使 得 该 模型 是 一 致 的 ， 或 者 请 证 明 不 存在 这 样 的 正 整数 值 
来 产生 一 个 一 致 性 模型 。 

(b) 假设 w=x=y=0 且 该 模型 是 一 致 的 ， 请 找 出 z (作为 N 和 M 的 函数 ) 的 最 小 值 ， 使 得 该 模型 不 
会 发 生死 锁 。 

(c) 假设 z=0 且 该 模型 是 一 致 的 。 请 找 出 w、x 和 ?的 值 ， 使 得 模型 不 会 发 生死 锁 且 waty 最 小 化 。 

(d) 假设 w=x=y=0， 且 z 是 在 (b) 中 找到 的 任何 值 ， 令 b,、b.、b, 和 4b. 分 别 是 连接 w、x、y 以 及 z 
的 缓冲 区 大 小 ， 请 问 这 些 缓冲 区 的 最 小 规模 是 多 少 ? 
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本 部 分 主要 学 习 嵌 入 式 系统 的 设计 ， 重 点 强调 用 于 构建 并 发 、 实 时 嵌入 式 软 
件 的 相关 技术 。 本 部 分 内 容 将 由 底 向 上 逐 级 展开 ， 首 先 在 第 7 章 讨论 传感器 与 执 
行 器 ， 着 重 讨论 如 何 对 它们 进行 建 模 。 第 8 章 是 说 入 式 处 理 器 设计 ， 重 点 关注 硬 
件 中 的 并 行 机 制 及 其 对 程序 员 的 影响 。 第 9 章 涵盖 存储 器 体系 结构 的 相关 机 制 与 
技术 ， 特 别 是 存储 器 体系 结构 对 程序 时 序 的 影响 。 第 10 章 聚 焦 于 使 程序 可 以 与 
外 部 物理 世界 进行 交互 的 输入 输出 机 制 ， 重 点 关注 如 何 调和 软件 的 顺序 特性 与 物 
理 世界 的 并 发 特性 。 第 11 章 阐述 软件 中 实现 并 发 的 基本 机 制 (包括 线程 与 进程 )， 
以 及 并 发 软件 任务 的 同步 机 制 (包括 信 号 量 及 互 斥 )。 最 后 ， 第 12 章 讨 论调 度 ， 
尤其 是 控制 并 发 程序 中 的 时 序 特性 。 
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传感器 (sensor) 是 测量 物理 量 的 一 种 装置 ， 执 行 器 ( actuator， 也 译 为 作 动 絮 ) 则 是 改 
变 物理 量 的 装置 。 在 电子 设备 中 ， 传 感 器 通常 产生 一 个 与 被 测量 物理 量 成 正比 的 电压 。 通 过 
一 个 模 - 数 转换 器 ( Analog-to-Digital Converter，ADC), 该 电压 就 可 以 被 转换 为 一 个 数字 
量 。 与 ADC 封装 在 一 起 的 传感器 称 为 数字 传感器 (digital sensor), MIA ADC 的 传感器 
被 称 为 模拟 传感器 (analog sensor)。 数 字 传感器 的 精度 较为 有 限 ， 其 取决 于 用 来 表示 数据 
的 位 数 (该 数 可 以 仅 是 1 )。 相 反 地 ， 执 行 器 通常 被 一 个 由 数 - 模 转 换 器 ( Digital-to-Analog 
Converter, DAC) 转换 数字 值 而 生成 的 电压 驱动 。 与 DAC 封装 在 一 起 的 执行 器 称 为 数字 执 
行 器 (digital actuator). 

现在 ， 传 感 器 和 执行 器 通常 与 微 处 理 器 和 网 络 接口 集成 在 一 起 ， 这 使 之 能 够 以 服务 的 形 
式 出 现在 互联 网 中 。 这 样 的 智能 传感器 和 执行 器 的 出 现 ， 促 进 了 将 信息 世界 和 物理 世界 深 
度 连 接 的 新 技术 的 发 展 。 这 个 “融合 的 世界 ”经 常 被 称 为 物 联 网 (Internet of Things, IoT), 
工业 4.0 (Industry 4.0 )、 工 业 互联 网 (Industrial Internet)、 机 器 通信 ( Machine-to-Machine, 
M2M)、 万物 互联 网 (Internet of Everything)、 智 慧 地 球 (Smarter Planet), TSensors (Trillion 
Sensors， 万 亿 传 感 器 ) MA Bit (The Fog, 与 “ 云 计算 ”的 概念 类 似 ， 但 离 地 面 更 近 ). 

而 且 ， 基 于 为 传统 互联 网 应 用 而 开发 的 机 制 ， 连 接 传 感 器 和 执行 器 的 接口 技术 已 经 开 
始 出 现 。 例 如 ， 使 用 所 谓 的 可 重新 表达 的 状态 迁移 ( REpresentational State Transfer, REST) 
架构 风格 (Fielding and Taylor, 2002 )， 通 过 网 络 服务 器 就 可 以 访问 一 个 传感器 或 执行 器 。 在 
这 一 架构 中 ， 通 过 构建 一 个 URL (统一 资源 定位 器 ) 就 可 以 从 传感器 获取 数据 ， 或 者 将 命令 
发 送 到 执行 器 ， 就 好 像 通过 浏览 器 来 访问 普通 网 站 的 页 面 一 样 ， 之 后 网 络 会 将 这 个 URL 直 
接 传输 到 特定 传感器 或 执行 器 装置 ， 或 者 发 送 到 一 个 提供 类 似 中 介 服 务 的 Web 服务 器 。 

在 本 章 ， 我 们 不 会 关注 上 述 这 些 高 级 接口 ， 而 是 侧重 于 桥接 物理 世界 和 信息 世界 的 传 感 
器 及 执行 器 的 基本 属性 。 一 些 关 键 的 底层 属性 包括 测量 或 动作 执行 的 速率 、 关 联 物理 量 与 测 
量 或 控制 信号 的 比例 常数 、 偏 移 量 或 偏差 ， 以 及 动态 量程 等 。 对 许多 传感器 和 执行 器 而 言 ， 
对 传感器 或 执行 器 偏离 比例 测量 的 程度 ( 非 线 性 ) 以 及 测量 过 程 所 引入 的 随机 变化 量 (噪声 ) 
进行 建 模 是 有 用 的 。 

传感器 与 执行 器 共同 面 对 的 一 个 关键 问题 是 物理 世界 在 多 维 连续 的 时 空中 运行 ， 即 物理 
世界 是 模拟 的 ( analog), 但 是 软件 世界 是 数字 的 ( digital) 上 且 严 格 量化 的 。 物理 现象 的 测量 
必须 首先 在 时 间 和 量 级 上 进行 量化 处 理 ， 之 后 软件 才能 对 其 进行 操作 。 而 且 ， 由 软件 向 物理 
世界 发 出 的 命令 也 将 需要 被 完全 量化 。 因 此 ， 理 解 量化 的 影响 非常 有 必要 。 

7.1 节 就 如 何 构建 传感器 和 执行 器 的 模型 进行 了 阐述 ， 特 别 是 聚焦 于 线性 以 及 非 线 性 、 
偏差 、 动 态 量 程 、 量 化 、 噪 声 以 及 采样 等 。 该 节 最 后 简要 介绍 了 信和 号 调理 技术 ， 这 是 一 种 提 
升 传感器 数据 或 执行 器 控制 质量 的 信号 处 理 技术 。 随 后 ，7.2 节 讨 论 了 一 些 常识 性 问题 ， 包 
括 倾斜 度 和 加 速度 测量 (加 速度 计 )、 位 置 与 速度 测量 (风速 计 、 惯 性 导航 、GPS， 以 及 其 他 


7È 伟 感 器 与 热 行 器 101 


测 距 与 三 角 测量 技术 等 )、 旋 转 测量 (陀螺 仪 )、 声 音 测 量 (麦克 风 ) 以 及 距离 测量 ( 测 距 仪 ) 
等 。7.3 节 阐 述 了 如 何 将 这 些 建 模 技 术 应 用 于 执行 器 ， 主 要 聚焦 于 LED 和 电机 控制 器 。 

安全 性 (特别 是 访问 控制 )、 隐 私 (特别 是 开放 互联 网 上 的 数据 流 )、 命 名 空间 管理 以 及 
委任 (commissioning) 等 高 级 属性 在 本 章 没 有 讨论 ， 但 它们 同样 很 重要 。 当 传感器 或 执行 器 
的 数量 增多 时 ， 委 任 尤 其 会 成 为 一 个 大 问题 。 委 任 是 一 个 过 程 ， 其 将 一 个 传感器 或 执行 器 装 
置 与 物理 位 置 ( 例 如， 一 个 温度 传感器 给 出 了 什么 的 温度 ? ) 进行 关联 ， 进 而 使 能 并 配置 网 
络 接口 ， 有 时 也 可 能 针对 特定 环境 对 装置 进行 校正 等 。 


7.1 传感器 与 执行 器 模型 


传感器 与 执行 器 将 信息 世界 与 物理 世界 相连 接 。 信 息 世 界 中 的 数字 与 物理 世界 中 的 数量 
有 着 密切 的 关系 。 在 本 节 ， 我 们 提供 该 类 关系 的 模型 ， 良 好 的 传感器 或 执行 器 模型 是 有 效 使 
用 该 类 关系 的 关键 。 


7.1.1 线性 与 仿 射 模型 
许多 传感器 可 以 由 一 个 仿 射 枉 数 进行 近似 建 模 。 假 设 传感器 在 上 时 刻 给 出 物理 量 x(t) 的 
(HA fat), EPS: 及 一 及 是 一 个 函数 。 如 果 存 在 一 个 比例 常量 (proportionality constant) 
a E 有， 对 于 所 有 的 x(D) E 及 有 下 式 成 立 ， 那 么 函数 了 就 是 线性 的 〈linear) 。 
JIx(D)=ax(D) 
如 果 存 在 一 个 比例 系数 a E 及 及 一 个 偏差 (bias) bE R, EFRA (7.1) 成 立 ， 那 么 函 
数 了 就 是 一 个 仿 射 函数 (affine function). 
fix(t)) = ax(t) + b (7.1) 
显然 ， 每 个 线性 函数 都 是 一 个 b=0 的 仿 射 函数 ,但 反之 不 成 立 。 
要 理解 这 样 一 个 传感器 的 读数 ， 还 需要 比例 常数 和 偏差 的 相关 知识 。 比 例 常数 体现 了 传 
感 右 的 灵敏 度 (sensitivity)， 因 为 其 给 出 了 物理 量 改变 时 测量 值 改 变 的 程度 。 
执行 器 也 可 以 用 仿 射 函数 来 进行 建 模 。 通 过 式 (7.1 ) 所 示 的 关系 ， 就 能 将 执行 器 的 命 
令 对 物理 环境 的 影响 进行 合理 的 近似 。 


7.1.2 BE 


实际 上 ， 并 没有 传感器 或 执行 器 真 的 可 以 实现 为 一 个 仿 射 函数 。 特 别 是 ， 传 感 右 的 量 
程 (range)， 即 传感器 可 测量 物理 量 的 值 的 集合 ,通常 是 有 限 的 。 执 行 器 也 是 如 此 。 在 量程 
之 外 ， 仿 射 函 数 模 型 就 不 再 有 效 。 例 如 ， 一 个 气温 检测 温度 计 可 能 的 量程 为 -20 守 到 50Y 。 
量程 范围 以 外 的 物理 量 通常 会 出 现 饱和 ( saturate)， 这 意味 着 它们 会 在 量程 之 外 产生 一 个 最 
大 或 最 小 值 。 传 感 器 的 仿 射 函数 模型 可 以 被 扩展 为 如 式 (7.2) 所 示 的 形式 ,其 中 ,HE RR 
分 别 是 量程 的 下 限 和 上 限 L<H. 
ax(t)+b # L<x(t)<H 
f(x) =\aH+b Æ x(t)>H (7.2) 
aL+b 若 x(th<L 


式 (7.2) 给 出 的 物理 量 c(t) 和 测量 值 之 间 的 关系 并 不 是 一 个 仿 射 关 系 〈 而 是 分 段 仿 射 
的 )。 实 际 上 ， 这 是 所 有 传感器 共有 的 非 线性 的 简化 表示 形式 。 在 操作 量程 (Z, H) A, 


702 RED KARAAT 





以 用 仿 射 函数 对 传感器 进行 合理 建 模 ， 但 是 超出 操作 量程 时 ， 传 感 咒 的 行为 就 会 有 显著 的 
不 同 。 
7.1.3 动态 量程 

数字 传感器 不 能 有 效 区 分 两 个 非常 接近 的 物理 量 的 值 。 传 感 器 的 精度 (precision) p 是 
传感器 读数 可 区 分 的 物理 量 两 个 值 之 间 的 最 小 绝对 差 。 数 字 传 感 器 的 动态 量程 dynamic 
range) D E R, 是 如 下 所 示 的 一 个 比率 ， 其 中 媚 和 二 是 式 (7.2) 中 的 量程 上 限 和 下 限 。 
_H-L 

P 
动态 量程 通常 以 分 贝 (decibel) 为 单位 ( 见 “ 分 贝 ”)， 如 式 (7.3 )。 


D 


H-L 
D =201o0g, (= (7.3) 


7.1.4 量化 


数字 传感器 使 用 一 个 n 位 数 来 表示 一 个 物理 量 ， 其 中 是 一 个 小 的 整数 。 这 种 形式 只 能 
表示 2" 个 数 ， 因 此 ， 传感器 就 只 能 输出 2" 个 不 同 的 测量 值 。 实 际 的 物理 量 可 以 被 表示 为 一 
个 实数 xD E 有 R， 但 对 每 一 个 x(D， 传 感 器 只 能 从 2 个 数 中 选 出 一 个 来 对 其 进行 表示 。 这 个 
过 程 就 是 量化 quantization)。 对 于 一 个 理想 的 数字 传感器 ， 两 个 由 精度 p 区 分 的 物理 量 可 
以 由 相差 一 位 的 数字 量 来 表示 ， 由 此 ， 精 度 和 量化 就 相互 关联 了 。 

我 们 可 以 进一步 扩展 式 〈7.2 ) 中 的 函数 /以 包括 量化 ， 由 下 例 进 行 说 明 。 


GED 有 一 个 3 位 数字 传感器 ， 其 可 以 测量 0V 到 1V 之 间 的 电压 。 该 传感器 可 以 奸 
RABAS: ROO1 …, 7}， 如 图 7-1 所 示 。 横 轴 是 传感器 的 输入 值 (V， 伏 特 )， 纵 轴 
显示 为 二 进 制 值 的 输出 ， 强 调 这 是 一 个 3 位 数字 传感器 。 

图 7-1 中 ， 量 程 的 下 限 是 L=0， 上 限 为 H=1。 由 于 在 操作 量程 内 ， 任 何 两 个 相差 大 于 
1/8 伏特 的 输入 将 产生 不 同 的 输出 ， 所 以 传感器 的 精度 为 p=1/8。 由 此 ， 传 感 器 的 动态 量程 
可 以 用 下 式 进行 计算 。 





D's =20log。 (£ > 
P 





J~1sa 


类 似 于 图 7-1， 可 以 将 传感器 的 输出 定义 为 其 输入 的 函数 f， 称 之 为 传感器 失真 函数 
(sensor distortion function)。 一 般 而 言 ， 一 个 具有 类 似 于 图 7-1 传感器 失真 函数 的 蒜 位 理想 
数字 传感器 ， 其 精度 可 由 下 式 表 示 ， 且 其 动态 量程 表示 为 式 (7.4 )。 

p= (H-Ly2" 


Dy, = 20108, (= porene’) =20log ,(2)= 6n dB (7.4) 


可 以 看 出 ， 每 增加 一 位 就 会 产生 约 6dB 的 动态 量程 。 
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f(x) 





图 7-1 量程 为 0 一 1V 且 精 度 为 1/8 的 3 位 数字 传感器 的 失真 函数 


GRD 模拟 比较 器 (analog comparator) 可 以 实现 量化 的 一 个 极端 形式 ， 其 将 信号 什 
与 一 个 阔 值 进行 比较 ， 并 产生 一 个 二 进 制 值 (0 或 1)。 这 里 ,传感器 函数 / : 及 一 {0,1} 的 
定义 由 下 式 给 出 。 

0 #2x() <0 
ro { eae 

这 样 的 极端 量化 处 理 通常 是 有 用 的 ， 因 为 输出 信号 是 非常 简单 的 数字 信号 ， 可 以 直接 连 
接 到 微 处 理 器 的 GPIO 输入 引 脚 上 ， 这 将 在 第 10 章 讨论 。 


前 一 示例 中 的 模拟 比较 器 是 1 位 的 ADC。 该 转换 器 的 量化 误差 比较 大 ， 但 是 使 用 如 
7.1.8 节 所 述 的 信号 调理 ， 在 采样 率 足 够 高 时 ， 通 过 数字 低 通 滤 波 器 就 可 以 显著 地 降低 噪声 。 
这 样 的 一 个 过 程 被 称 为 过 采样 ( oversampling)。 这 种 方法 在 当今 非常 常用 ， 这 是 因为 处 理 数 
字 信 号 比 处 理 模拟 信号 的 开销 更 低 。 

执行 器 也 会 受到 量化 误差 的 影响 。 一 个 数字 执行 器 接收 数字 命令 ， 并 将 其 转换 为 一 个 模 
拟 的 物理 动作 。 其 关键 的 部 分 是 数 - 模 转 换 器 。 由 于 数字 命令 只 会 有 数量 有 限 的 可 能 值 ， 因 
此 ， 一 个 模拟 响应 可 以 获取 的 精度 将 依赖 于 数字 信和 号 的 位 数 以 及 执行 器 的 量程 。 

然而 , 正如 ADC 一 样 ， 在 精度 与 速度 之 间 进 行 平衡 是 有 可 能 的 。 例 如 ， 一 个 启 停 控制 
器 ( bang-bang controller) 使 用 1 位 的 数字 作 动 信号 来 驱动 一 个 执行 器 ， 这 个 1 位 命令 的 更 
新 会 非常 快速 。 对 于 响应 时 间 相 对 较 长 的 执行 器 ， 如 电机 ， 并 不 会 有 很 多 时 间 来 对 每 一 位 做 
出 响应 ， 因 此 对 每 一 位 的 响应 时 间 都 很 得。 整体 响应 是 一 段 时 间 内 所 有 位 上 响应 的 平均 值 ， 
这 比 所 期 望 的 一 位 控制 更 加 平滑 。 以 上 就 是 对 过 采样 的 基本 描述 。 

对 于 ADC 5 DAC 硬件 的 设计 ， 其 本 身 就 是 一 门 艺术 。 选 择 不 同 的 采样 间隔 与 位 数 ， 
其 效果 将 过 然 不 同 。 要 充分 理解 这 些 指标 的 含义 ， 需 要 有 大 量 的 信号 处 理 专 业 知 识 。 下 面 我 
们 来 粗略 地 看 一 下 这 个 有 些 复杂 的 主题 。7.1.8 节 讨 论 如 何 减弱 环境 噪声 以 及 由 量化 所 引入 
的 噪声 ， 直 观 地 从 结果 来 看 ， 这 将 有 利于 滤 除 不 感 兴趣 的 频率 范围 。 这 些 频率 范围 与 采样 速 
率 相 关 ， 由 此 ， 噪 声 和 采样 将 是 下 一 个 要 讨论 的 话题 。 


分 M 
“IR” (decibel) 即 十 分 之 一 贝尔 (bel， 音 量 比率 的 单位 )， 其 以 加 拿 大 发 明 家 和 企 


业 家 Alexander Graham Bell 的 名 字 命 名 。 这 个 测量 单位 最 初 由 贝尔 电话 实验 室 的 电话 工 
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程 师 提 出 ， 并 用 于 表示 两 个 信号 的 功率 比 。 

功率 是 对 每 个 单位 时 间 能 量 消耗 (完成 工作 ) 的 衡量 ， 电 子 系统 中 其 以 瓦特 (或 瓦 ) 
为 衡量 单位 。1 贝尔 在 功率 中 被 定义 为 10 的 因子 。 因 此 ， 一 个 1000 瓦 的 电 吹 风 较 100 
瓦 的 电灯 泡 多 消耗 1 贝尔 (或 者 说 是 10d4B)。 令 p(=1000W) 为 电 吹 风 的 功率 ,p=100W) 
是 电灯 泡 的 功率 ， 那 么 ， 该 比率 可 由 下 式 表 示 。 

logio(P;/P2) = lbel 或 者 10logio(pi/p;)= 10dB 

与 式 (7.3 ) 比较 ， 我 们 会 注意 到 一 个 矛盾 之 处 。 式 (7.3 ) 中 乘法 因子 是 20， 而 不 
是 10。 这 是 因为 式 (7.3 ) 中 的 比率 是 幅 值 (大 小 ) 而 不 是 功率 的 比率 。 在 电路 中 ， 如 果 
一 个 幅 值 表 示 电 阻 上 的 电压 ， 那 么 电阻 所 消耗 的 功率 与 幅 值 的 平方 成 正比 。 令 al 和 mw 
就 是 这 样 的 两 个 幅 值 ， 那 么 它们 功率 的 比率 由 下 式 计 算 。 


10log,o(a;/a3) = 20log,,(a,/a,) 
Ast, ÆA (73) 中 ， 乘 法 因子 是 20 而 不 是 10。3dB 功率 比率 相当 于 功率 的 因子 
为 2。 在 幅 值 上 ， 比 率 为 V2 


在 音频 中 ， 分 贝 被 用 于 测量 声音 强度 ， 有 诸如 “10 米 处 的 一 台 喷 气 式 引擎 产生 
120dB 的 声音 ”这 样 的 描述 。 依 惯例 ， 将 声 压 与 定义 的 20 微 帕斯卡 ( micropascal) 这 一 
基准 进行 比较 ， 其 中 1 帕斯卡 是 1 牛顿 每 平方 米 的 压力 。 对 于 大 多 数 人 ， 听 力 的 阅 值 大 
约 为 1kHz。 因 此 ，0dB 的 声音 几乎 是 听 不 到 的 ，10dB 的 声音 有 10 倍 的 功率 ，100dB 的 
声音 有 10" 倍 的 功率 。 因 此 ， 在 没有 耳 部 防护 的 情况 下 ， 喷 气 式 引 擎 发 出 的 声音 可 能 会 
RAFF i 





7.1.5 IRA 


HEXA, RA (noise) 是 信号 中 所 不 被 需要 的 部 分 。 如 果 要 测量 上 时 刻 的 x(0， 但 
实际 测量 值 为 xD， 那么 噪声 就 是 两 者 的 差异 ， 如 下 式 所 示 。 
n(t)=x'(t)— x(t) 
等 效 地 ， 实 际 测量 值 可 由 式 〈7.5 ) 计算 ， 即 期 望 值 加 上 噪声 的 总 和 。 
x' (= x(t) + n(t) (7.5 ) 


GID 未 看 一 个 使 用 加 速度 计 来 测量 慢 速 移动 物体 方向 的 例子 (参见 7.2.1 节 中 对 加 
速度 计 测 量 方向 的 解释 )。 加 速度 计 附 着 在 移动 物体 上 并 对 方向 变化 做 出 反应 ， 运 动 方 向 的 
改变 会 改变 引力 场 相对 于 加 速度 计 轴 的 方向 。 但 是 ， 它 也 会 因为 振动 而 产生 加 速度 。 令 x(?) 
是 方向 变化 产生 的 信号 ，n(t) 是 振动 引起 的 信号 ， 那 么 ， 加 速度 计 的 测量 值 就 是 它们 的 和 。 


在 上 例 中 ， 品 声 实 际 上 是 传感器 未 能 准确 测量 所 希望 实际 值 所 产生 的 副作用 。 我 们 想 要 
方向 值 ， 但 它 却 测量 了 加 速度 。 另 外 ， 我 们 还 可 以 将 传感器 的 缺陷 及 量化 建 模 为 噪声 。 通 
常 而 言 ， 传 感 器 失真 函数 可 以 被 建 模 为 噪声 ， 如 式 (7.6 ) 所 示 ， 依 据 定 义 n(A 就 是 /xz(D)- 
x(t). 

SEO) = x(+n(0) (7.6) 

能 够 对 测量 值 中 的 噪声 数量 进行 表征 是 很 有 用 的 。 噪 声 的 均 方 根 (Root Mean Square, 
RMS) N E R+ 等 于 n(t) 的 均值 平方 根 ， 具 体 由 式 (7.7 ) 计算 。 
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M 
N= lin = [ar (7.7) 


这 是 噪声 功率 (noise power) (的 平方 根 ) 的 测量 值 。 噪 声 功率 的 另 一 个 (统计 ) 定义 是 
n(t) 平方 的 期 望 值 平方 根 。 式 (7.7) 将 噪声 功率 定义 为 时 间 上 的 平均 值 ， 而 不 是 一 个 期 望 值 。 

信 噪 比 (Signal to Noise Ratio，SNR， 以 分 贝 为 单位 ) 是 依据 均 方 根 品 声 定义 的 ， 如 下 
式 所 示 : 


X 
SNR = 20108,9 (ž) 


Hp X fbf aS x 的 均 方 根 值 ，x 定义 为 如 式 (7.7 ) 所 示 的 时 间 平 均值 ， 或 者 使 用 期 
望 值 。 下 一 个 示例 说 明 如 何 使 用 基本 概率 论 中 的 期 望 值 来 计算 信 噪 比 。 


GED 我 们 可 以 通过 使 用 式 (7.6 ) 作为 量化 器 的 模型 来 找 出 量化 产生 的 信 噪 比 。 回 
顾 示例 7.1 以 及 图 7-1 中 给 出 的 一 个 操作 量程 为 0V 至 1V 的 3 位 数字 传感器 。 假 设 输入 电压 
可 能 是 0V 至 1V 量程 中 的 任意 位 置 。 也 就 是 说 ，x(D 是 一 个 在 0 到 1 范围 均匀 分 布 的 随机 变 
E. DA, M#Ax 的 均 方 根 值 可 由 x(t) 平方 的 期 望 值 平方 根 给 出 ， 或 由 下 式 进 行 计算 。 
4 
V3 

回顾 图 7-1， 如 果 x(0 是 在 0 到 1 范围 均 义 分布 的 随机 变量 ， 那 么 式 (7.6) 中 的 误差 
nt) 就 可 能 为 -1/8 到 0 范围 内 的 任意 值 。 由 此 ， 均 方 根 噪声 可 由 下 式 计算 。 


[rr 1 1 
N= 8n°dn = =—= 
Jin V3°64 843 


从 而 可 以 得 出 信 噪 比 的 计算 式 如 下 。 


A= [eax = 





SNR» = 20log ， (=) = 20log,,(8) ~ 18dB 


请 注意 ， 这 与 式 (7.4 ) 所 预测 的 6dB 每 位 的 动态 量程 相符 ! 


为 了 计算 上 例 中 的 SNR， 我 们 需要 一 个 输入 x 的 统计 模型 以 及 量化 函数 (x 符合 0 到 1 
区 间 的 均匀 分 布 )。 实 践 中 ， 校 准 ADC 硬件 以 使 输入 x 充分 利用 它 的 量程 是 很 困难 的 。 也 就 
是 说 ,输入 可 能 分 布 在 小 于 整个 0 到 1 量程 的 范围 内 ， 且 还 可 能 不 是 均匀 分 布 的 。 因 此 ， 系 
统 中 实际 得 到 的 SNR 将 可 能 明显 小 于 式 (7.4) 所 估计 的 6 dB 每 位 。 


7.1.6 采样 


一 个 物理 量 x(t) 是 时 间 上 的 函数 。 数 字 传 感 器 会 在 一 系列 特定 的 时 间 点 对 物理 量 进行 
采样 (sample)， 并 生成 离散 信和 号。 在 均匀 采样 ( uniform sampling) 中 ， 两 次 采样 之 间 有 一 
个 固定 的 时 间 间 隔 7,，7T 被 称 为 采样 间隔 (或 采样 周期 )。 生 成 的 信号 可 以 被 建 模 为 一 个 函 
Ms: 也 一 及 ， 定 义 如 式 (7.8) 所 示 ， 其 中 也 为 整数 集 。 也 就 是 说 ， 物 理 量 xA 的 值 仅 在 
二 nT 时 间 能 被 观察 到 ， 且 测量 值 会 受 传 感 占 失真 函数 的 影响 。 由 此 ， 采 样 速率 ( sampling 
rate) 就 是 1/T7， 其 表示 每 秒 的 采样 数 ， 单 位 为 赫兹 (Hz， 表 示 每 秒 周期 数 )。 
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Vn€Z, s(n)=f(x(nT)) (7.8) 
实际 中 ， 采 样 间 隔 了 的 值 越 小 , ADC 提供 更 多 数位 的 成 本 就 会 越 高 。 在 相同 的 开销 下 ， 
越 快 的 ADC 产生 的 数位 通常 会 越 少 ， 因 此 也 就 具有 更 高 的 量化 误差 或 更 小 的 量程 。 


《EBD ATSC 数字 视频 编码 标准 中 包括 了 一 个 数据 格式 ， 其 中 ， 帧 速率 为 每 秒 30 
帧 且 每 帧 有 1080 X 1920=2,073,600 像素 。 由 此 ， 将 一 个 颜色 通道 转换 到 一 个 数字 化 表示 的 
ADC 必须 每 秒 执行 2,073,600 X 30=62,208,000 次 转换 操作 ， 从 而 采样 间隔 了 大 约 为 16ns ( 纳 
秒 )。 对 于 如 此 短 的 采样 间隔 ， 增 加 ADC 中 数位 数量 的 成 本 就 非常 高 。 对 于 视频 而 言 ，b=8 
位 通常 足以 产生 良好 的 视觉 保 真 度 ， 且 可 以 在 合理 的 成 本 上 实现 。 


采样 信号 时 的 一 个 重要 问题 是 ， 有 很 多 不 同 的 函数 x 会 在 采样 时 产生 相同 的 信和 号， 这 
— MAB ABS (aliasing) - 


GID 如 下 给 出 一 个 频率 为 1kHz HERP SHA BA, 
x(t) = cos(2000n?) 
假设 不 存在 传感器 失真 ， 那 么 ， 式 〈7.8 ) 中 的 函数 /就 是 一 个 恒 等 函 数 。 如 果 以 每 秒 
8000 次 的 速率 采样 (电话 系统 中 常用 的 采样 速率 )， 那 么 就 能 得 到 一 个 采样 间隔 T=1/8000, 
其 会 产生 如 下 采样 。 
s(n) =f (x(nT)) = cos(mn/4) 
相反 ， 假设 给 定 如 下 的 一 个 9kHz 信号 。 
x(t) = cos(18,0007ż) 
那么 ， 同 样 以 8kHz 的 速率 采样 会 得 出 如 下 采样 。 
s(n) = cos(92n/4) = cos(mn/4 + 27n) = cos(mn/4) = s(n) 
1kHz 的 声音 与 9kHz 的 声音 产生 与 图 7-2 完 
全 相同 的 采样 。 因 此， 在 这 样 的 采样 频率 上 ， 这 L 
两 个 信号 互 为 混 琶 ， 根 本 无 法 对 其 进行 区 分 。 


混和 至 是 一 个 复杂 而 棘手 的 现象 (更 详细 内 容 
参见 Lee and Varaiya ( 2011 )), 但 幸运 的 是 ， 奈 
奎 斯 特 一 香农 采样 定理 (Nyquist-Shannon samp- 图 7-2 关于 混合 的 示例 
ling theorem) 为 统一 采样 提供 了 有 用 的 经 验 法 则 。 另 外 ， 对 本 主题 的 研究 需要 用 到 傅 里 叶 变 
换 机 制 ， 这 超出 了 本 书 的 范围 。 通 俗 地 讲 ， 该 理论 指出 ， 以 速率 R=1/T 采 样 的 样本 唯一 地 定 
义 了 一 个 时 间 连 续 信 号 ， 即 频率 小 于 R/2 正弦 分 量 的 和 。 也 就 是 说 ， 在 频率 小 于 R/2 的 正弦 
曲线 之 和 的 所 有 时 间 连 续 信 号 中 ， 仅 有 一 个 与 以 及 为 速率 的 采样 集 相 匹配 。 因 此 ， 这 一 经 验 
性 的 法 则 就 是 ， 如 果 要 采样 一 个 最 大 频率 为 R/2 的 信号 ， 那 么 最 小 以 尺 作 为 采样 速率 来 采样 
信号 就 可 以 得 到 唯一 表示 该 信号 的 样本 。 


GI 在 传统 电话 系统 中 ， 工 程 师 们 已 经 确认 无 需 高 于 4kHz 的 频率 即 可 识别 人 的 
语音 信号 。 由 此 ， 将 高 于 4kHz 的 频率 移 除 并 以 8kHz 的 速率 采样 人 类 语音 音频 信号 ， 就 足 
以 从 这 些 采 样 中 重 构 出 一 个 可 识别 的 音频 信号 。 高 频 信 号 的 移 除 是 由 选 频 滤波 器 实现 的 ， 该 
ie KE RAG A IB BIB (anti-aliasing filter)， 它 能 够 防止 高 于 4kHz 的 频率 分 量 混入 低 
于 4kHz 的 频率 分 量 。 





ie | 
0.001 
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Rm, ANBRAGDRAB TK 15kHz 的 频率 ， 或 者 对 于 年 轻 人 来 说 可 以 达到 
20kHz。 因 此 ， 用 于 音乐 的 数字 音频 信号 以 高 于 40kHz 的 频率 采样 ; 通常 选择 44.1kHz， 这 
最 初 是 用 于 CD 的 采样 频率 。 


GED 室内 气温 的 变化 较 声 音 强度 的 变化 慢 很 多 。 例 如 ,假设 最 快 的 气温 变化 速度 
以 分 钟 的 速率 测量 ， 而 不 是 秒 。 如 果 我 们 要 获取 约 一 分 钟 左右 的 变化 ， 那 我 们 就 应 该 每 分 钟 
采样 两 次 室内 的 温度 。 


7.1.7 BRAKE 


即使 在 传感器 及 执行 器 的 操作 量程 内 ， 一 般 也 会 出 现 谐 波 失真 (harmonic distortion) 这 
一 非 线性 形式 。 谐 波 失真 的 出 现 通常 是 由 于 传感器 或 执行 器 的 灵敏 度 并 非 保持 不 变 ， 而 常常 
依赖 于 信号 强度 的 大 小 。 例 如 ， 麦 克 风 对 于 高 声 强 的 敏感 度 就 低 于 对 较 低 声 强 的 。 

谐 波 失真 是 一 种 非 线 性 效应 ， 可 以 用 物理 量 的 功率 来 模拟 。 具 体 而 言 ， 二 次 谐 波 失真 
(second harmonic distortion) 取决 于 物理 量 的 平方 。 也 就 是 说 ， 给 定 一 个 物理 量 x(1)， 那 么 
该 测量 就 可 以 由 式 ( 7.9 ) 来 进行 建 模 ， 其 中 d, 是 二 次 谐 波 失真 的 数量 。 如 果 d, 比较 小 ， 该 
模型 就 几乎 是 仿 射 的 ; Wd, 比较 大 ， 那 么 它 就 肯定 不 是 仿 射 的 。d, COY 项 被 称 为 二 次 谐 
波 失 真 ， 这 是 因为 其 具有 随时 间 变 化 的 信号 x(t) 的 频率 成 分 。 

f x(ax(D+b+td, (AY (7.9) 


GD 假定 支 克 风 接 收 如 下 一 个 纯正 弦 输 入 声音 ， 其 中 + 是 以 秒 为 单位 的 时 间 ，cn 
是 以 弧度 每 秒 为 单位 的 正弦 信号 的 频率 。 如 果 信 号 频率 在 人 类 的 听觉 范围 内 ， 该 声音 听 起 来 
就 像 一 个 纯音 。 

x(t) = cos(@, t) 
HA (7.9) 建 模 的 传感器 将 在 上 时 间 产 生 如 下 测量 值 : 
x(t) = ax(t) +b +d, (OF 


=a cos(@, f) + b + d, cos (ay À 
= +b+ = $ & 2 
= a COS(M, f) 2 2 cos(2@, f) 
其 中 ， 主 要 用 到 了 如 下 三 角 恒 等 式 : 
cos’ (0)= 四 (1+cos(26)) 


偏差 项 b+d/2 对 于 人 类 而 言 是 听 不 见 的 。 因 此， 该 信号 包含 了 一 个 由 & 所 定 标的 纯音 ， 
以 及 一 个 两 倍 频率 的 失真 项 ， 其 由 do/2 标定 。 只 要 2ou 在 人 的 听觉 范围 内 ， 失 真 项 就 和 谐 波 
失真 一 样 是 可 以 听 得 见 的 。 


三 次 项 会 引入 三 次 谐 波 失真 (third harmonic distortion )， 较 高 的 功率 将 会 引入 较 高 的 
谐 波 。 

谐 波 失真 的 重要 性 取决 于 应 用 。 例 如 ， 人 的 听觉 系统 对 谐 波 失真 非常 敏感 ， 但 人 的 视觉 
系统 对 谐 波 失真 的 敏感 度 很 低 。 
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7.1.8 ”信号 调理 ? 

噪声 与 谐 波 失真 通常 与 期 望 信号 有 着 非常 显著 的 差异 。 我 们 可 以 利用 这 些 差 异 来 减少 其 
至 消除 噪声 或 者 失真 ， 其 中 最 方便 的 一 个 方式 就 是 选 频 滤 波 〈 frequency selective filtering) 
该 滤波 方法 依赖 于 傅 里 叶 理论 ， 其 认为 信号 是 诸多 不 同 频率 正弦 信号 的 琶 加 组 合 。 然 而 ， 傅 
里 叶 理 论 的 具体 内 容 也 超出 了 本 书 知 识 体系 的 范畴 (参见 ( Lee and Varaiya (2003 ) ) 。 对 于 
有 一 些 背 景 知识 的 读者 而 言 ， 思 考 如 何 将 该 理论 应 用 到 舱 入 式 系 统 中 可 能 会 有 所 帮助 。 这 正 
是 本 节 所 要 介绍 的 。 


< 示例 7.3 所 讨论 的 加 速度 计 被 用 来 测量 慢 速 移动 物体 的 运动 方向 ， 但 是 它 实 
际 测 量 的 却 是 方向 和 振动 的 和 。 这 里 ， 我 们 可 以 通过 信和 号 调理 (signal conditioning) 的 方法 
来 降低 振动 对 结果 的 影响 。 如 果 我 们 假设 振动 nA 较 方 向 x(0D 拥有 更 高 的 频率 成 分 ， 那 么 ， 
选 频 滤波 将 会 减少 振动 所 产生 的 影响 。 具 体 来 说 ,振动 主要 是 快速 地 改变 加 速度 值 ， 而 方向 
的 改变 则 更 慢 ， 此 时 滤波 就 能 够 移 除 快速 变化 的 成 分 ， 仅 留 下 变化 较 慢 的 成 分 。 


为 了 理解 选 频 滤波 可 发 挥 作用 的 程度 ， 我 们 需要 有 一 个 期 望 信号 x 和 噪声 的 模型 。 一 
个 合理 的 模型 通常 是 统计 型 的 ， 且 信和 号 的 分 析 需 要 使 用 随机 过 程 、 估 计 以 及 机 器 学 习 等 技 
术 。 虽 然 该 分 析 已 经 超出 了 本 书 的 范畴 ， 但 是 通过 纯粹 的 确定 性 分 析 ， 我 们 就 可 以 洞悉 在 很 
多 实际 情况 下 该 方法 是 有 用 的 。 
我 们 的 方法 是 ， 采 用 一 个 称 为 调理 滤波 器 的 线性 时 不 变 系 统 5 对 信号 x'=x+tn 的 滤波 来 
实现 对 信号 的 调理 。 假 设 调理 滤波 器 的 输出 由 下 式 给 出 ， 且 5 是 线性 的 。 
y = S(x") = S(x + n) = S(x) + S(n) 
又 假设 滤波 后 的 残 差 信号 定义 如 式 〈7.10 ) 所 示 。 
r=y-x = S(x) + S(n) —x (7.10 ) 
这 个 信号 说 明了 滤波 输出 偏离 期 望 信号 程度 的 大 小 。 令 R 表示 7 的 均 方 根 值 ， 且 为 x 
的 均 方 根 值 ， 那 么 滤波 后 的 信 噪 比 就 可 由 下 式 计 算 。 


SNR œ = 201og,, (ž) 


我 们 希望 设计 一 个 调理 滤波 器 SR ERK. HP EX ARES, PAR Ze 
R 就 可 以 使 得 信 品 比 最 大 。 也 就 是 说 ,我 们 选择 用 8 来 最 小 化 式 (7.10) 中 x 的 均 方 根 值 。 

虽然 确定 这 个 滤波 器 需要 使 用 超出 本 书 的 统计 学 方法 ,但 我 们 仍然 可 以 通过 分 析 式 
(7.10) 得 出 一 些 直观 而 又 有 吸引 力 的 结论 。 容 易 看 出 ,分 母 R 有 如 式 (7.11 ) 所 示 的 边界 ， 
其 中 RMS 是 式 (7.7) 所 定义 的 均 方 根 函 数 。 这 提示 我 们 ,可 以 通过 让 S(x) 接近 x (BILE 
S(x) =x) 且 减 小 RMS(n) 来 最 小 化 R。 也 就 是 说 ， 滤 波 器 8 在 尽 可 能 多 地 过 滤 噪 声 的 同时 应 
该 最 小 化 对 期 望 信号 x 的 损害 。 

R = RMS(r) < RMS(S(x)—x) + RMS(n) (7.11) 

如 示例 7.3，x 和 的 频率 成 分 通常 存在 差异 。 在 该 例 中 ,x AEE SMS, m nA 

包含 了 高 频 ， 因 此 ,5 的 一 个 最 佳 选择 就 是 低 通 滤波 器 。 


O 在 初次 学 习 时 可 以 跳 过 本 节 。 本 节 内 容 要 求 具有 高 年 级 信号 与 系统 工程 课程 的 背景 。 


7.2 一些 常用 传感器 
在 本 节 ， 我 们 将 描述 一 些 传感器 ， 并 阐述 如 何 来 获得 和 使 用 这 些 传感器 的 合理 模型 。 
7.2.1 测量 倾斜 度 与 加 速度 


加 速度 计 是 测量 物体 固有 加 速度 的 传感器 ， 所 谓 固 有 加 速度 就 是 观察 者 在 自由 落体 中 观 
察 到 的 物体 的 加 速度 。 正 如 我 们 在 这 里 解释 的 一 样 ， 重 力 与 加 速度 是 不 可 区 分 的 ， 因 此 ,加 
速度 计 不 仅 会 测量 加 速度 ， 同 时 还 测量 重力 。 这 个 结果 是 爱 因 斯 坦 广 义 相对 论 的 基础 之 一 ， 
被 称 为 爱 因 斯 坦 的 等 效 原理 (Einstein, 1907 ) 。 

图 7-3 给 出 了 一 个 加 速度 计 的 原理 示意 图 ， 有 一 个 可 移动 块 通过 弹簧 连接 到 一 个 固定 杠 
架 上 。 假设 传感器 电路 可 以 测量 可 移动 块 相对 固定 框架 的 位 置 (这 很 容易 实现 ， 如 通过 测量 
电容 )。 当 框架 沿 着 图 中 双 箭 头 线 的 方向 加 速 移动 时 ， 加 速度 会 引起 可 移动 块 发 生 位 移 ， 从 
而 可 以 测量 出 加 速度 。 





测量 的 加 速度 


图 7-3 一 个 加 速度 计 的 原理 图 


可 移动 块 有 一 个 中 性 平衡 位 置 ， 即 弹簧 完全 没有 发 生 形变 的 位 置 。 在 整个 组 合体 的 自由 
落体 过 程 中 或 者 这 个 组 合体 水 平 放置 时 ， 可 移动 块 就 会 处 于 这 个 中 性 位 置 。 相 反 ， 如 果 这 个 
组 合体 是 垂直 放置 的 ， 那 么 重力 就 会 压缩 弹簧 并 使 可 移动 块 发 生 位移 。 对 于 自由 落体 的 观察 
者 而 言 ， 这 看 起 来 好 像 是 组 合体 在 以 近似 于 重力 加 速度 (g=9.8m/s’) 向 上 加 速 。 

因此 ， 加 速度 计 还 可 以 测量 固定 框架 的 倾斜 度 (与 重力 相关 )。 该 固定 框架 所 具有 的 任 
何 加 速度 都 将 增加 到 该 测量 值 中 或 从 中 减 去 。 但 要 想 分 离 重 力 与 加 速度 这 两 种 效应 ， 还 需要 
应 对 一 些 挑 战 。 这 两 者 结合 起 来 称 为 固有 加 速度 。 

假设 x 是 加 速度 计 的 固定 框架 在 特定 时 间 的 固有 加 速度 ， 那么 ， 该 数字 加 速度 计 将 会 产 
生 一 个 测量 值 ix)。 其 中 , f 的 定义 如 下 所 示 , 工 E 了 及 是 最 小 可 测量 的 固有 加 速度 , HER 
是 最 大 可 测量 的 固有 加 速度 ，b E N 是 ADC 的 位 数 。 

f: GH ~,2-1} 
现在 ,已 经 基于 硅 材 料 实现 了 加 速度 计 。 在 如 图 7-4 所 示 的 硅 加 速度 计 中 ， 硅 梳 齿 在 重 
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力 拉力 或 加 速度 下 发 生 形 变 (参见 Lemkin and Boser (1999) 中 的 例子 )， 再 由 电路 测量 形变 
并 提供 一 个 测量 的 数值 。 通 常情 况 下 会 将 三 个 加 速度 计 封 装 在 一 起 ， 从 而 形成 一 个 三 轴 加 速 
度 计 。 这 种 加 速度 计 可 被 用 于 测量 物体 相对 于 重力 的 方向 ， 以 及 三 维 空间 中 任 一 方向 上 的 加 
速度 。 





图 7-4 一 个 硅 加 速度 计 " 


7.2.2 测量 位 置 和 速度 l 

理论 上 ， 只 要 给 定 加 速度 随时 间 变 化 的 测量 值 x>， 就 有 可 能 确定 出 物体 的 速度 和 位 置 。 
以 一 NE s 间 运动 的 物体 为 例 。 假设 物体 随时 间 的 位 置 是 p : RSR, 初始 位 置 为 
p(0)。 令 物体 随时 间 变 化 的 速度 为 x : 民 , 一 展 ， 且 初始 速度 为 0)， 加 速度 为 x : R >R, 
那么 可 用 下 式 来 计算 某 个 时 刻 物体 的 位 置 和 速度 。 


p(t) = p(0)+ | vdr 
v(t) = v(0) + x(t)dt 


Ee. DAE Ss 个 非 零 的 偏差 ， p(t) 将 会 有 一 个 与 成 比例 增长 的 
误差 ， 这 样 的 误差 称 为 漂移 ( drift)。 漂 移 误差 使 得 独立 使 用 加 速度 计 来 定位 物体 并 不 是 很 
有 意义 。 然 而 ， rei 置 将 物体 位 置 周期 性 地 设置 为 已 知 位 置 ， 那 么 
加 速度 计 就 可 被 用 于 在 这 些 位 置 之 间 进行 近似 的 定位 。 在 某 些 情形 下 ， 我 们 还 可 以 测量 物 
体 在 介质 中 的 移动 速度 。 例 如 ， 风 速 计 (测量 气流 ) 可 以 估计 一 架 飞 机 相对 于 周围 大 气 的 速 
度 。 但 使 用 这 一 测量 方法 来 推算 位 置 会 再 次 受到 漂移 的 影响 ,特别 是 周围 空气 的 运动 会 引入 
偏差 。 

由 上 可 知 ， 直 接 测 量 位 置 是 一 件 比较 麻烦 的 事情 。 全 球 定 位 系统 (Global Positioning 
System, GPS) 是 基于 地 球 卫 星 以 及 三 角 测量 原理 的 复杂 导航 系统 。GPS 接收 机 监听 来 自 四 
颗 或 更 多 卫星 的 信号 ， 这 些 信 和 号 携带 了 极为 精确 的 时 钟 。 有 具体 而 言 ， 即 卫星 发 射 了 提供 发 射 
时 间 以 及 所 处 位 置 的 信号 。 如 果 接 收 机 具有 同样 精确 的 时 钟 ， 那 么 基于 从 卫星 收 到 的 信号 ， 
接收 机 就 能 够 利用 光速 计算 出 到 该 卫星 的 距离 。 给 定 三 个 这 样 的 距离 ， 接 收 机 就 能 够 计算 出 
自己 的 位 置 。 然 而 ， 这 样 的 高 精度 时 钟 是 非常 昂贵 的 。 为 此 ， 接 收 机 需要 使 用 第 四 个 这 样 的 
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测量 距离 以 得 到 由 四 个 方程 构成 的 方程 组 ， 其 包括 了 四 个 未 知 数 、 位 置 的 三 个 维度 以 及 本 地 
时 钟 的 误差 。 

实际 上 ，GPS 卫星 的 信号 强度 相对 较 弱 ， 很 容易 被 建筑 物 和 其 他 障碍 物 所 阻挡 。 因 此 ， 
对 于 室内 定位 就 需要 使 用 其 他 机 制 。 一 种 机 制 是 WiFi 指纹 ( WiFi fingerprinting)， 即 一 个 设 
备 使 用 WiFi 访问 点 的 已 知 位置 、 这 些 访问 点 的 信号 强度 以 及 其 他 本 地 信息 来 实现 定位 。 男 
一 种 用 于 室内 定位 的 技术 是 蓝牙 (bluetooth) 一 一 短 距 离 无 线 通信 标准 。 蓝 牙 信 号 可 被 用 作 
信 标 ， 且 信 标 的 信号 强度 可 以 给 出 到 该 信 标 的 大 致 距离 。 

众所周知 ， 基 于 无 线 电信 号 强度 的 测 距 并 不 是 很 好 的 方法 ， 因 为 其 会 受到 无 线 电信 号 的 
本 地 衍射 及 反射 作用 影响 。 室 内 环境 中 无 线 电信 号 通常 会 受到 多 路 径 ( multipath) 的 影响 ， 
其 沿 着 多 条 路 径 到 达 目 标 ， 且 在 目标 端 会 出 现 相 长 干扰 或 相 消 干扰 现象 。 这 样 的 干扰 将 引起 
信号 强度 出 现 大 的 可 变性 ， 进 而 会 误导 距离 的 测量 。 在 撰写 本 书 时 ， 精 确 的 室内 定位 并 非 广 
泛 可 用 的 ， 这 与 GPS 等 已 在 全 球 广泛 使 用 的 室外 定位 技术 形成 了 鲜明 对 比 。 


7.2.3 测量 旋转 

陀螺 仪 是 用 于 测量 方向 〈 旋 转 ) 改变 的 装置 。 与 加 速度 计 不 同 的 是 ， 其 (几乎 ) 不 受 重 
力 场 的 影响 。 传 统 的 陀螺 仪 是 安装 在 双 平 衡 环 架 上 的 笨重 旋转 机 械 装 置 。 现 代 的 陀螺 仪 要 么 
是 使 用 小 型 共振 结构 的 微机 电 系 统 装置 ( MicroElectroMechanical System, MEMS), Ade 
测量 激光 束 在 闭合 路 径 的 相反 方向 上 行进 的 距离 差异 的 光学 装置 ， 要 么 是 (为 了 达到 超 高 精 
度 ) 利用 量子 效应 的 装置 。 

陀螺 仪 与 加 速度 计 可 以 组 合 起 来 ， 以 提高 惯性 导航 的 精度 ， 其 采用 航 位 推算 法 ( dead 
reckoning, dead 源 自 deduced (推导 ) 一 词 )。 航 位 推算 法 从 一 个 已 知 的 位 置 和 方向 开始 ， 
进而 使 用 运动 测量 数据 来 估计 接 下 来 的 位 置 与 方向 。 惯 性 测量 单元 ( Inertial Measurement 
Unit, IMU) 或 者 惯性 导航 系统 (Inertial Navigation System, INS) 采用 陀螺 仪 来 测量 方向 的 
变化 ， 并 使 用 加 速度 计 来 测量 速度 的 变化 。 当 然 ， 这些 单 元 也 会 受到 漂移 的 影响 ， 因 此 它们 
通常 与 周期 性 提供 较 精 确 位 置信 息 (虽然 没有 方向 ) 的 GPS 单元 结合 起 来 使 用 。 当 然 ， 惯 性 
测量 单元 也 可 以 变 得 非常 复杂 和 昂贵 。 


7.2.4 测量 声音 


ZE (microphone) 测量 声 压 的 变化 ， 有 很 多 技术 可 被 用 于 麦克 风 的 设计 ， 如 电磁 感 
应 ( 声 压 导 致 导线 在 磁场 中 移动 )、 电 容 ( 声 压 变 形 板 与 固定 板 之 间 的 距离 发 生 改 变 ， 引 起 电 
容 测量 值 的 变化 )， 或 者 压 电 效应 (由 于 机 械 应 力 ， 电 荷 积累 在 晶体 中 ) 等 。 

面向 人 声 特性 设计 的 麦克 风 ， 可 在 人 类 听觉 频率 范围 内 ( 约 20Hz 到 20,000Hz) 提供 低 
失真 和 低 噪声 。 但 是 ,麦克 风 也 广泛 应 用 于 这 个 范围 之 外 。 例 如 ， 超 声波 测 距 仪 发 出 人 类 听 
觉 范围 外 的 声音 并 接收 其 回声 ， 用 于 测量 发 射 点 到 声 反 射 表 面 的 距离 。 


7.2.5 其 他 传感器 


如 我 们 所 知 ， 传 感 器 的 类 型 非常 多 样 。 例 如 ,测量 温度 是 HVAC、 汽 车 引擎 控制 器 、 过 
电流 保护 等 系统 以 及 诸多 工业 化 学 过 程 的 必要 操作 之 一 。 化 学 传感器 可 以 检测 出 特定 的 污染 
物 、 测 量 酒精 浓度 等 。 相 机 和 光电 二 极 管 测 量 光 的 强度 与 颜色 ; 时 钟 测量 时 间 的 变化 等 。 

开关 是 一 个 特别 简单 的 传感器 。 设 计 合适 的 话 ， 它 也 可 以 感知 压力 、 斜 度 或 者 动作 ， 如 
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通常 可 以 将 开关 直接 连接 到 微 控制 器 的 GPIO 引 脚 。 然 而 ， 开 关 带 来 的 问题 是 它们 可 能 会 发 
4E #4) (bounce)。 一 个 基于 电气 触 点 闭合 的 机 械 开关 存在 金属 与 金属 间 的 碰撞 ， 触 点 的 建 
立 不 可 能 一 步 完成 。 因 此 ， 系 统 设计 人 员 在 设计 对 建立 电气 触 点 的 动作 进行 响应 的 机 制 时 就 
需要 格外 小 心 ， 否 则 拨 动 一 次 开关 可 能 会 不 经 意 间 引起 多 次 动作 的 响应 。 


7.3 ”执行 器 

与 传感器 一 样 ， 可 用 执行 器 的 类 型 也 非常 多 样 。 由 于 不 可 能 进行 完全 覆盖 ， 这 里 我 们 仅 
讨论 两 个 常用 的 执行 器 : LED 和 电机 控制 。 更 多 细节 将 在 讨论 特定 微 控制 器 VO 设计 的 第 
10 章 中 进行 阐述 。 
7.3.1 发 光 二 极 管 


执行 器 很 少 能 被 微 控制 器 的 数字 IO 引 脚 (GPIO 引 脚 ) 直接 驱动 。 这 些 引 脚 可 以 灌 人 
或 吸收 限定 大 小 的 电流 ， 并 且 任 何 超过 该 限制 的 尝试 都 存在 着 损害 电路 的 危险 。 但 存在 一 个 
例外 ， 这 就 是 发 光 二 极 管 (Light-Emitting Diode，LED)。 当 发 光 二 极 管 与 一 个 电阻 串联 时 ， 
通常 就 可 以 直接 连接 到 一 个 GPIO 引 脚 。 这 可 以 对 嵌入 式 系统 的 某 些 行 为 进行 视觉 提示 ， 是 
一 种 非常 方便 且 常 用 的 方式 。 


GREED 考 卡 一 个 纽扣 电池 供电 并 以 3V 电压 工作 的 微 控制 器 ， 规 定 其 GPIO 引 脚 最 
大 可 以 吸收 18mA 的 电流 ， 且 假设 希望 用 软件 来 打开 或 关闭 一 个 LED (具体 方法 参见 第 10 
章 )。 假 设 所 用 LED 在 正 向 偏 置 (开启 ) 时 的 压 降 为 2V， 那 么 ， 可 以 与 该 LED 串联 并 保证 
电流 在 18mA 范围 内 的 最 小 电阻 是 多 少 ? 欧姆 定律 (Ohms Law) 给 出 了 式 (7.12) 所 示 计 
HAA, HPV RON, 1 是 电流 ,RR 是 电阻 值 。 

Vo= IR (7.12) 
2 Ae tS a V= 3-2 = 1V 的 压 降 (3V 供电 电压 中 的 2V 在 LED 上 )， 由 此 ， 流 经 
电阻 的 电流 可 由 下 式 计算 。 
I=1/R 
为 了 将 电流 限制 在 18mA， 我 们 就 需要 选 定 如 下 最 小 阻 值 的 电阻 。 
R > 1/0.018 = 560 
如 果 选 择 一 个 100Q 的 电阻 ， 那 么 流 经 电阻 和 LED 的 电流 就 是 由 下 式 计算 的 值 。 
1=V,/100 = 10 mA 
如 果 电 池 容 量 为 200mAh( 毫 安 时 )， 那 么 在 不 考虑 微 控制 器 及 其 他 电路 能 量 消 耗 的 前 
提 下 ， 驱 动 LED 20 小 时 将 会 完全 耗 尽 电池 电量 。 电 阻 和 LED 中 的 功 耗 可 分 别 由 以 下 两 式 
计算 。 
Pr= Vg =10mW 
P,=21=20mW 
这 些 数 字 给 出 了 LED 电路 所 会 产生 的 热量 ( 较 保 守 的 估算 )。 


在 要 将 一 个 装置 与 微 控制 器 相连 时 ， 上 例 中 的 计算 过 程 就 是 一 个 典型 必 备 的 步 又。 


7.3.2 电机 控制 
电机 ( motor) 被 用 于 向 负载 施加 一 个 与 流 经 电机 线圈 的 电流 成 正比 的 转 矩 〈 角 向 力 )。 
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所 以 ， 向 电机 施加 一 个 与 期 望 转 矩 成 正比 的 电压 似乎 也 是 个 不 错 的 选择 。 但 实际 上 ， 这 并 不 
是 一 个 好 的 想法 。 首 先 ， 如 果 电 压 由 DAC 进行 数字 化 控制 ， 我 们 就 必须 保证 其 不 能 超过 该 
DAC 天 件 的 电流 限制 。 大 多 数 DAC 不 能 传输 大 的 功率 ， 且 要 求 在 DAC 和 被 供电 的 设备 之 
间 增 加 一 个 功率 放大 咒 。 功 率 放大 器 的 输入 端 具有 高 的 阻抗 ， 这 就 意味 着 在 给 定 的 电压 上 放 
大 器 所 能 吸收 的 电流 非常 少 ， 因 此 通常 将 其 与 DAC 直接 相连 。 然 而 ， 输 出 端 可 能 会 有 大 的 
电流 。 


EAP 用 于 驱动 8Q 扬声器 的 音频 放大 器 通常 可 以 向 扬声器 传输 100W (峰值 ) 的 
功率 。 如 我 们 所 知 ， 功 率 是 电压 和 电流 的 乘积 ， 进 而 结合 欧姆 定律 就 可 以 得 出 功率 与 电流 的 
平方 成 正比 ， 以 及 如 下 计算 公式 。 其 中 ,，R 是 电阻 值 。 

P=RP 
由 此 ， 功 率 为 100W 时 ， 流 经 8Q 扬声器 的 电流 可 由 下 式 计 算 : 


IT=VP/R=V100/8 =3.5A 


这 的 确 是 一 个 很 大 的 电流 。 能 够 传输 这 样 的 大 电流 且 不 会 导致 过 热 并 引入 失真 的 功率 放 
大 器 电路 是 非常 复杂 的 。 


具有 良好 线性 的 功率 放大 器 〈 输 出 电压 和 电流 与 输入 电压 成 正比 ) 可 能 是 非常 昂贵 、 笨 
重 和 低 效 能 的 (放大 器 本 身 消耗 了 大 量 电量 )。 幸 运 的 是 ， 驱 动 电机 时 通常 不 需要 这 样 一 个 
功率 放大 器 ， 使 用 一 个 通过 微 控制 器 数字 信号 进行 打开 和 关闭 的 开关 就 已 经 足够 了 。 显 然 ， 
制作 一 个 能 承受 大 电流 的 开关 比 
制作 一 个 功率 放大 器 要 简单 得 多 。 。 0 

我 们 使 用 了 脉冲 宽度 调制 
(PWM) 技术 ,其 可 以 在 数字 控 
制 的 方式 下 有 效 地 传输 大 的 功率 ， 
只 要 所 驱动 设备 能 够 承受 快速 的 
电源 通 断 即 可 ,这 样 的 设备 包括 60 02 04 06 08 10 12 14 16 
T LED, HIT (XFW T WGA A T’ mi /s É 
的 工作 机 制 )， 以 及 直流 电机 等 。 | 
如 图 7-5 底部 所 示 的 PWM 信号 
以 特定 的 频率 在 高 电压 和 低 电 压 
之 间 切 换 ， 其 在 周期 内 的 一 小 部 
分 保持 了 高 电 平 信 号 ， 而 周期 中 





ws 





的 这 一 部 分 被 称 为 占 空 比 (duty "02580 2545 02550 Ta 


02560 0.2565 02570 0.2575 
J 


cycle)。 图 7-5 中 占 空 比 为 0.1， 
即 10%。 

直流 电机 (或 直流 马达 ) 包 
括 了 一 个 电磁 体 ， 其 是 用 导线 缠 
绕 在 置 于 永久 磁铁 或 电磁 体 所 制 
成 磁场 中 的 磁 芯 上 构成 的 。 当 电 — — 
流 流 经 导线 ， 磁 芯 就 会 发 生 旋 转 。 图 7-5 直流 电机 的 PWM 控制 





es 


这 样 的 电机 既 有 惯性 又 有 电感 ， 这 使 其 在 电流 瞬时 导 通 和 断 开 的 时 候 可 以 平滑 地 进行 响应 
所 以 这 种 电机 可 以 很 好 地 承受 PWM 信号 。 

So : 恨 一 恨 表示 电机 角速度 的 一 个 时 间 函 数 ， 且 假设 为 电机 提供 的 电压 v 也 是 时 间 
函数 。 那 么 ， 基 于 基本 电路 理论 ， 我 们 希望 电机 的 电压 和 电流 满足 如 下 方程 。 


v= RW + LO 
其 中 , R 是 电阻 值 , L 是 电机 线圈 的 电感 值 。 也 就 是 说 ， 电 机 线圈 被 建 模 为 一 对 串联 的 
电阻 和 电感 。 电 阻 两 端的 压 降 与 电流 成 正比 ， 电 感 的 压 降 与 电流 的 变化 率 成 正比 。 
然而 ， 该 类 电机 会 呈现 出 这 样 一 个 现象 : 当 线圈 在 磁场 中 旋转 时 ， 它 也 会 产生 电流 ( 相 
地 也 会 有 电压 )。 实 际 上 ， 电 机 同样 也 可 以 起 到 发 电机 的 作用 ; 如 果 不 是 将 电机 与 无 源 负 
载 进行 机 械 耦 合 ， 而 是 与 向 电机 施加 转 矩 的 电源 耦合 ， 电 机 旋转 时 将 会 产生 电流 。 即 使 电机 
是 被 用 作 电 动机 而 不 是 发 电机 ， 这 种 旋转 时 产生 电流 的 趋势 也 会 形成 抵抗 旋转 的 转 矩 ， 称 之 
为 反 电 动 势 。 为 了 解释 这 一 点 ， 以 上 的 方程 可 被 进一步 扩展 为 式 (7.13) 所 示 形 式 。 其 中 ， 
k 是 经 验 性 的 反 电动 势 常 量 ， 通常 以 VVRPM (伏特 / 转 数 每 分 钟 ) 为 单位 。 


“a 


v(t) = Ri(t) + L—~ + kolt) (7.13) 


基于 式 (7.13) 中 所 阐述 的 电机 电气 行为 ， 可 以 使 用 2.1 节 中 给 出 的 技术 来 描述 这 个 机 
械 行为 。 这 里 ， 我 们 可 以 使 用 “转动 版 ”的 牛顿 第 二 定律 (Fma), FE BHR SF, H 
转动 惯量 替代 了 质量 m， 且 用 角 加 速度 蔡 代 了 加 速度 a。 电 机 上 的 转 矩 7 与 流 经 电机 的 电流 
成 正比 ， 并 由 摩擦 力 和 施加 在 机 械 负 载 上 的 任何 力矩 来 进行 调节 。 
T(t) = kift) — no(t) — r(t) 
Heh, kp te — TR PEAY Le, n 是 电机 的 运动 摩擦 力 ，t eT CH I A 
依据 牛顿 第 二 定律 ， 其 需要 与 转动 惯量 7 乘 以 角 加 速度 的 值 相 等 ， 由 此 可 得 式 (7.14 )。 


7 da(t) 名 
dt 





K,i(t)—no(t)—r(t) (7.14) 
IÈ (7.14) 与 式 (7.13 ) 共同 描述 了 电机 如 何 对 施加 于 它 的 电压 和 机 械 转 矩 进 行 响应 


CE 有 这 样 一 个 电机 ， 其 具体 参数 如 下 。 
1=3.88X10 kg: m? 
k, =2.75 X 10 V/RPM 
kr=5.9X10° N: mA 
=17.10 
L=1.1X107H 
假设 电机 上 没有 其 他 负载 ， 且 给 其 施加 一 个 频率 为 1kHz、 占 空 比 为 0.1 的 PWM 信号 。 
么 根据 式 (7.14 ) 和 式 (7.13) 进行 数字 化 仿真 的 电机 响应 如 图 7-5 所 示 。 请 注意 ， 电 机 
Æ 2s 后 稳定 在 350RPM 以 上 。 如 详细 数据 图 所 示 ， 电 机 的 角速度 以 1kHz 的 速率 抖动 。 在 
PWM 信号 为 高 时 ， 电 机 快速 加 速 ， 当 信号 为 低 时 减速 ， 后 者 是 由 摩擦 力 以 及 反 电 动 势 所 引 
起 的 。 显 然 ， 通 过 提升 PWM 信和 号 的 频率 ,就 可 以 减 小 拌 动 的 幅度 。 


在 PWM 控制 器 驱动 电机 的 典型 应 用 中 ,我 们 可 以 使 用 2.4 节 中 的 反馈 控制 技术 ， 并 
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将 电机 速度 设置 为 期 望 的 RPM 值 。 为 此 ， 还 需要 对 电机 的 速度 进行 测量 。 我 们 可 以 使 用 一 
个 称 为 旋转 编码 器 (rotary encoder) 或 编码 器 的 传感器 ， 其 输出 角 位 置 或 者 角速度 (或 者 两 
者 都 有 )。 该 类 编码 器 的 设计 非常 多 样 。 一 个 非常 简单 的 方式 是 每 当 电 机 轴 转 动 一 个 特定 角 
度 时 就 提供 一 个 电 脉冲 ， 然 后 通过 统计 每 个 单元 时 间 中 的 脉冲 数 就 能 得 出 被 测量 电机 的 角 
速度 。 


7.4 aye 


在 实际 设计 中 ， 工 程 师 们 可 以 选择 的 传感器 和 执行 器 种 类 非常 多 样 。 本 章 我 们 强调 了 这 
些 传感器 和 执行 器 的 模型 ， 这 些 模型 是 戏 人 式 系 统 设计 人 员 所 使 用 工具 包 的 重要 组 成 部 分 。 
没有 这 样 的 模型 ， 工 程 师 将 会 被 对 各 种 现象 的 猜测 和 实验 纠缠 得 无 法 前 行 。 
习题 
1. 请 证 明 ， 两 个 仿 射 函数 /和 g 的 复合 函数 fo。g 也 是 仿 射 的 。 

2. 人 类 听觉 的 动态 范围 约 为 100 分 贝 。 假 设 人 类 可 以 有 效 区 别 的 最 小 声 强 差异 约 为 204 Pa ( 微 帕 )。 
(a) 对 于 一 个 100 分 贝 的 动态 范围 ， 人 类 可 有 效 区 别 的 最 大 声音 的 声 强 是 多 少 ? 
(b) 对 于 一 个 适合 于 人 类 听力 范围 的 完美 麦克 风 ， 一 个 ADC 要 适应 人 类 听力 动态 范围 时 的 最 小 位 数 

是 多 少 ? 

3. 以 下 问题 是 关于 如 何 为 加 速度 计 确 定 如 下 函数 的 。 假 设 固 有 加 速度 x 产生 一 个 值 fx)， 且 假设 x 的 
MH “g's”, 其 中 ig 是 重力 加 速度 ， 约 为 g=9.8(m/s’). 
fè CAR B42] 
(a) 令 加 速度 计 测量 没有 固有 加 速度 时 ,ADC 的 输出 是 偏差 b E (0, …, 2 一 1}， 那 么 如 何 来 测量 总 ? 
(b) 令 a © {0,…, 2-1) 是 加 速度 计 在 测量 Og 加 速度 和 1g 加 速度 时 所 存在 的 差异 。 这 是 加 速度 计 
灵敏 度 的 ADC 转换 。 如 何 测量 a ? 
(c) 假设 已 有 从 (b) 和 (a) 两 题 得 到 的 测量 值 a 和 4b。 为 加 速度 计 给 出 一 个 仿 射 函数 模型 ; 假设 固有 
加 速度 为 x 日 单位 为 g's， 请 说 明 该 模型 的 精度 如 何 。 
(d) 给 定 一 个 测量 ftx) (在 仿 射 模型 下 )， 请 找到 一 个 x， 其 固有 加 速度 的 单位 是 gso 
(e) 通过 测量 来 确定 a 和 45 的 过 程 称 为 传感器 的 校准 。 请 讨论 ， 为 什么 单独 校准 每 个 加 速度 计 可 能 

是 有 用 的 ,但 为 一 组 加 速度 计 假 设 固定 的 校准 参数 a 和 4 时 却 并 非 如 此 。 

(f) 假设 有 一 个 理想 的 8 位 数字 加 速度 计 ， 其 在 固有 加 速度 为 0g 时 输出 值 hx)=128， 当 固有 加 速度 

大 于 3g 时 ftx)=1， 固 有 加 速度 小 于 3g 时 ftx)=255。 假 设 加 速度 计 从 不 产生 fx)=0。 请 给 出 灵敏 

RE a 和 偏差 bp。 该 加 速度 计 的 动态 量程 是 什么 (单位 为 分 贝 )? 

4. (本 题 由 Eric kim 提供 .) 
你 是 义军 联盟 (Rebel Alliance) 的 飞行 员 ， 正在 通过 将 太空 船 悬 停 在 克 里 星球 (Cory planet) 的 
云层 下 来 躲避 银河 帝国 (Galactic Empire) 的 追击 (场景 虚拟 自 电 影 《 星 球 大 战 》 一 -一 译 者 注 )。 令 
z 轴 的 正方 向 向 上 且 表 示 飞 船 相 对 于 地 面 的 位 置 ,，v 是 飞船 的 垂直 速度 。 该 星球 的 重力 非常 强大 ， 
其 产生 一 个 绝对 值 为 g 的 加 速度 (真空 中 )。 大 气 阻力 与 速度 旦 线性 相关 ， 等 于 rv， 其 中 阻力 系数 
r 三 0 是 模型 的 一 个 参数 常量 。 飞 船 质量 为 M。 飞 船 引 擎 提供 一 个 垂直 升力 。 
(a) 令 L(t) 是 飞船 引擎 提供 的 垂直 升力 的 输入 。 请 写 出 飞船 位 置 z(1) 及 速度 v(t) 的 动力 学 方程 。 请 
忽略 当 飞船 坠落 时 的 情形 。 方 程 右 侧 应 包括 v(t) 和 工 (?)。 
(b) 基于 前 一 问题 的 答案 ,请 写 出 大 气 阻力 可 忽略 以 及 1=0 时 z) 与 vD 的 显 式 解 。 在 初始 时 刻 =0 
时 ， 飞 船 距离 地 面 30 米 且 初始 速度 为 -10(m/s)。 提 示 : ASH v(t), 之 后 用 v(t) 来 求解 z(1)。 
(c) 请 使 用 积分 器 、 加 法 器 等 参 元 给 生成 垂直 位 置 和 速度 的 系统 画 出 一 个 参 元 模型 。 请 确保 在 所 给 
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出 的 参 元 模型 中 标 出 所 有 变量 。 

(d) 飞船 引擎 略 有 损坏 且 仪 可 以 通过 提供 一 个 纯 输 入 一 一 “开关 ”来 控制 引擎 ， 当 输入 出 现时 引擎 
状态 将 从 打开 切换 到 关闭 ， 或 者 由 关闭 切换 为 打开 。 当 引擎 为 打开 状态 时 ， 其 将 提供 一 个 正 问 
的 升力 KL， 而 关闭 时 L=0。 飞 船 面板 上 有 一 个 加 速度 计 。 假 设 飞 船 是 水 平 的 ( 即 俯仰 角 为 0) H 
加 速度 计 的 z 轴 向 上 为 正 。 令 引擎 的 开关 命令 输入 序列 如 下 。 

l present woR t © {0.5,1.5,2.5,…} 
Switch( = { aicen 其 他 
为 了 避免 在 切换 时 刻 拓 0.5,1.5,2.5,… 的 歧义 ， 假 定 在 切换 发 生 时 引擎 升力 瞬时 就 是 新 的 值 。 假 

设 大气 阻 力 忽略 不 计 ( 即 r=0 )， 忽 略 险 毁 状 态 ， 且 在 =0 时 刻 引擎 是 打开 的 。 

请 将 加 速度 计 读 数 的 垂直 分 量 作为 时 间 1 € RR 的 函数 绘制 出 来 ， 并 将 重要 的 值 在 轴 上 标注 出 

来 。 提 示 : 首先 绘制 出 升力 图 将 很 有 帮助 。 

(e) 如 果 飞 船 在 固定 高 度 上 航行 ， 加 速度 计 显示 的 值 将 是 多 少 ? 
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在 当今 通用 计算 体系 中 ， 常 见 的 指令 集体 系 结构 种 类 并 不 算 多 ，Intel 的 x86 体系 结构 占 
据 压 倒 性 主导 地 位 。 但 在 嵌入 式 计算 中 并 不 存在 这 样 “ 一 边 倒 ”的 统治 情形 ， 各 种 各 样 的 处 
理 器 类 型 反而 让 设计 者 有 点 望 而 生 上 其。 本 章 的 目标 是 为 读者 提供 一 些 工 具 及 名 词 ， 以 便于 读 
者 了 解 这 些 选 项 并 能 严格 评估 处 理 器 的 这 些 特性 。 我 们 将 特别 关注 在 时 间 上 提供 并 发 与 控制 
的 机 制 ， 因 为 这 些 问题 在 信息 物理 融合 系统 的 设计 中 占有 很 大 比重 。 

当 嵌 入 式 处 理 器 被 部 署 于 一 个 产品 中 时 ， 其 通常 具有 具体 的 专用 功能 ， 如 它们 被 用 以 控 
制 汽车 引擎 或 测量 北极 的 冰 层 厚度 。 这 些 处 理 器 并 不 需要 执行 用 户 自 定义 软件 的 任意 功能 ， 
因此 ， 其 可 以 更 为 专用 。 而 且 ， 使 嵌入 式 处 理 器 更 为 专用 还 可 以 带 来 诸多 益处 ， 如 其 能 耗 更 
低 ， 从 而 可 以 使 用 小 电池 进行 长 期 工作 ; 或 者 它们 可 以 集成 专用 硬件 来 执行 在 通用 硬件 上 处 
理 成 本 较 高 的 某 些 操作 ， 如 图 像 分 析 等 。 

在 评估 处 理 器 时 ， 理 解 指令 集体 系 结构 (ISA)、 处 理 器 实现 或 芯片 之 间 的 差异 非常 重 
要 。 前 者 是 处 理 器 可 执行 指令 的 定义 以 及 实现 中 必须 采用 的 一 些 结构 性 约束 〈 如 字 长 )， 后 
者 是 半导体 厂商 销售 的 硅 片 。 指 令 集 体系 结构 是 诸多 实现 所 共享 的 一 个 抽象 ， 其 可 以 出 现在 
很 多 不 同 的 芯片 中 ， 这 些 不 同 的 芯片 由 不 同 制造 商 生 产 并 广泛 具有 不 同 的 性 能 参数 。x86 就 
是 一 个 指令 集体 系 结构 ， 其 具体 实现 非常 多 样 。 

在 一 系列 的 处 理 器 中 共用 一 套 指令 集体 系 结构 的 优势 在 于 ， 可 以 共享 高 开发 成 本 的 软件 
工具 ,并 且 (有 时 ) 使 得 同样 的 程序 可 以 在 多 个 处 理 器 实现 上 正确 运行 。 然 而， 由 于 指令 集 
体系 结构 通常 并 不 包括 任何 时 序 约束 ， 因 此 后 一 个 特性 实际 上 是 比较 有 风险 的 。 为 此 ， 即 使 
一 个 程序 可 以 在 多 个 芯片 上 以 相同 的 逻辑 运行 ， 但 是 当 这 些 处 理 需 骨 入 信息 物理 融合 系统 
时 ， 各 个 系统 的 行为 仍 可 能 会 完全 不 同 。 


8.1 处理 器 类 型 

由 于 嵌入 式 应 用 种 类 繁多 ， 所 使 用 的 处 理 器 也 多 种 多 样 ， 其 范围 涵盖 了 从 小 型 、 低 速 、 
廉价 及 低 功 耗 的 装置 到 高 性 能 、 专 用 的 设备 。 本 节 将 对 部 分 常见 的 处 理 器 类 型 进行 概要 叙述 。 
8.1.1 微 控制 器 


微 控制 器 (nC) 是 单个 集成 电路 构成 的 小 型 计算 机 ， 其 由 相对 简单 的 中 央 处 理 单元 
(CPU) 和 外 设 (如 存储 器 、LO 设备 以 及 定时 器 等 ) 组 成 。 根 据 一 些 数据 ， 全 球 销售 的 处 理 
器 中 有 一 半 以 上 是 微 控 制 器 ,但 这 种 说 法 很 难 被 完全 证 实 ， 因 为 微 控 制 器 与 通用 处 理 器 的 差 
异 有 时 并 不 是 那么 明显 。 最 简单 的 8 位 微 控制 器 适合 于 内 存 需求 少 以 及 逻辑 功能 简单 (相对 
于 性 能 增强 的 运算 功能 ) 的 应 用 。 它 们 的 功 耗 极 低 ， 且 通常 都 会 提供 功 耗 可 降 至 毫 微 瓦 ?级 


O 功率 单位 ， 等 于 十 亿 分 之 一 瓦特 ， 常 略 作 nW。 一 一 译 者 注 
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MERR PLL UES , (ERAR 2 A A E oe te A A PF EA e E e EB A hg 
况 下 运行 多 年 。 

微 控制 器 也 可 能 相当 复杂 ， 将 它们 与 通用 处 理 器 进行 明确 区 分 可 能 会 变 得 困难 。 例 如 ， 
Intel Atom 是 主要 用 于 笔记 本 及 其 他 小 型 移动 计算 机 的 x86 处 理 器 系列 。 由 于 这 些 处 理 咒 消 
耗 的 电能 相对 较 少 ， 且 与 高 端 计 算 机 中 的 处 理 器 相 比 不 会 过 多 地 损失 性 能 ， 因 此 它们 适合 : 
某 些 散人 式 应 用 以 及 存在 散热 问题 的 服务 器 。AMD 的 Geode 处 理 器 是 位 于 通用 处 理 器 与 微 
控制 融 间 模糊 地 带 的 男 一 个 例子 。 


微 控 制 器 

大 多 数 半 导体 厂商 的 产品 线 中 都 会 有 一 个 或 多 个 系列 的 微 控制 器 ， 其 中 有 些 体系 结 
构 已 经 非常 陈旧 。 例 如 ,1974 年 面世 的 Motorola 6800 和 Intel 8080 都 是 8 位 微 控制 器 。 
今天 仍然 存在 延续 这 些 体系 结构 的 微 控 制 器 ， 如 Freescale 6811. Zilog Z80 是 与 8080 
完全 兼容 的 延续 性 产品 ， 其 已 成 为 自 诞生 以 来 制造 和 应 用 最 为 广泛 的 微 控 制 器 。Z80 的 
一 个 衍生 系列 是 由 了 Rabbit 半导体 公司 设计 的 Rabbit 2000, 

另 一 个 非常 流行 和 悠久 的 体系 结构 是 Intel 公司 于 1980 年 开发 的 8 位 微 控制 器 
Intel 8051。 现 在 ， 众 多 半导体 厂商 都 提供 了 支持 8051 指令 集体 系 结构 的 微 控制 器 ， 如 
Atmel ( 爱 特 梅 尔 公司 )、Infineon Technologies ( 英 飞 凌 科 技 )、Dallas Semiconductor ( 达 
拉 斯 半导体 公司 )、NXP (〈 恩 智 浦 半 导体 公司 )、ST Microelectronics( 意 法 半导体 公司 入 
Texas Instruments (德州 仪器 ) 以 及 Cypress Semiconductor ( 赛 普 拉 斯 半导体 公司 ) 等 。 

Atmel 公司 于 1996 年 开发 的 Atmel AVR 8 位 微 控 制 器 是 率先 采用 片上 Flash 存储 器 
来 存储 程序 的 微 控 制 器 之 一 。 尽 管 Atmel 公司 曾 表示 AVR 并 不 是 一 个 缩写 ,但 很 多 人 
都 相信 这 个 RISC (精简 指令 集 计 算 ) 体系 结构 是 由 两 个 挪威 技术 学 院 的 学 生 (Alf-Egil 
Bogen 和 Vegard Wollan) 提出 的 ， 因 此 它 可 能 源 自 “AIf 和 Vegard 的 RISC”. 

很 多 32 位 的 微 控 制 器 中 实现 了 一 些 ARM 指令 集 的 变 体 。ARM 的 最 初 含义 是 先进 
的 精简 指令 集 计 算 机 (Advanced RISC Machine， 更 早 时 称 为 Acorn RISC Machine), 42 
是 ， 它 今天 仅 表 示 为 ARM。 基 于 ARM 指令 集体 系 结构 的 处 理 器 被 广泛 应 用 于 移动 电 
话 中 以 实现 用 户 界面 功能 ， 以 及 诸多 其 他 嵌入 式 系 统 。 半 导体 厂商 从 ARM 公司 获得 指 
令 集 授权 ， 并 生产 自己 的 处 理 器 。 RA, KA ARM 体系 结构 的 处 理 器 制造 商 已 经 非 
常 多 ， 著 名 的 有 Alcatel (阿尔 卡特 )、Atmel、Broadcom (博通 )、Cirrus Logic (凌云 还 
4%). Freescale ( 飞 思 卡尔 )、LG、Marvell Technology Group (美满 电子 科技 )、NEC、 
NVIDIA ( 英 伟 达 )、NXP、Samsung、Sharp、ST Microelectronics, Texas Instruments, 
VLSI Technology, Yamaha (雅马哈 ) 等 。 

其 他 值得 我 们 关注 的 谈 入 式微 控制 器 体系 结构 还 有 摩托 罗拉 冷淡 (Motorola 
ColdFire， 之 后 因 收 购 改 为 Freescale ColdFire)、 日 立 的 H8 和 SuperH、MIPS (最 初 由 
斯 坦 福 大 学 John Hennessy 教授 领导 的 团队 开发 )、PIC (本 意 为 可 编程 接口 控制 器 ， 由 
微 芯 科技 公司 开发 ) 以 及 PowerPC (HER, IBM 和 摩托 罗拉 于 1991 年 联合 推出 )。 


可 编程 逻辑 控制 器 
可 编程 逻辑 控制 器 ( Programmable Logic Controller, PLC) 是 专门 用 于 工业 自动 化 
的 微 控制 器 形式 。PLC 最 初 用 于 替代 基于 电气 继电器 进行 控制 的 机 器 中 的 控制 电路 ， 它 





BSE KAAMBHE 119 


们 通常 在 恶劣 环境 (高 温 、 高 湿 及 灰尘 等 ) 中 连续 动 


JZ 停止 。 ”运行 
操作 。 
PLC 通常 使 用 梯形 逻辑 编程 ， 梯 形 遇 辑 符 号 最 初 运行 
使 用 了 由 继电器 和 开关 所 构造 的 逻辑 。 继 电器 是 一 个 1 
运行 电机 


由 线圈 控制 触 点 的 开关 器 件 。 当 在 线圈 上 施加 电压 时 ， 
触 点 闭合 ， 从 而 使 得 电流 流 过 继电器 。 通 过 将 一 组 触 
点 及 线圈 进行 和 连接， 就 可 以 基于 继电器 构建 符合 特定 
模式 的 数字 控制 器 。 

在 常见 的 表示 方法 中 ， 触 点 表示 为 两 条 竖 线 ,线圈 则 表示 为 一 个 圆圈 ， 如 以 上 梯形 
逻辑 图 所 示 。 上 图 中 有 两 个 阶梯 (rung， 也 可 译 为 横 档 )。 在 下 面 的 阶梯 中 ， 电 机 线圈 控 
制 打 开 或 关闭 电机 。 启 动 (Start) 和 停止 (Stop) 触 点 代表 按键 开关 ， 启 动 通 常 是 一 个 打 
开 的 触 点 。 当 操作 人 员 按 下 启动 按键 时 ， 该 触 点 闭合 且 电流 从 左 向 右 流动 。 停 止 触 点 通 
常 是 闭合 的 ， 用 斜 线 表示 ， 这 意味 着 当 操 作 人 员 按 下 开关 时 该 触 点 打开 。 上 面 阶梯 中 的 
逻辑 值得 我 们 关注 。 当 操作 人 员 按 下 启动 按键 时 ， 电 流 流 经 运行 (Run) 线圈 ， 使 得 两 个 
运行 触 点 都 闭合 。 电 机 将 会 一 直 转 动 ， 直 至 启动 按键 被 松 开 。 当 操作 人 员 按 下 停止 按键 
时 ， 电 流 中 断 ， 两 个 运行 触 点 都 打开 ， 从 而 使 得 电机 停止 转动 。 并 联 的 触 点 执行 逻辑 或 
(OR) 功能 ， 串 联 的 触 点 实现 远 辑 与 (AND) 功能 。 另 外 ， 上 面 的 阶梯 中 存在 一 个 反馈 ， 
该 阶梯 的 含义 是 图 中 所 隐 含 遇 辑 方程 的 一 个 不 动 点 解 2 。 

目前 ，PLC 只 是 一 些 具 有 适用 于 工业 控制 IO 接口 的 、 封 装 坚 固 的 微 控制 器 ， 而 梯 
形 逻 辑 则 是 用 于 程序 的 图 形 化 编程 符号 。 显 然 ， 具 有 成 千 上 万 阶梯 的 逻辑 图 将 会 是 非常 
复杂 的 。 读 者 可 以 从 Kamen ( 1999 ) 中 获取 更 多 详细 信息 。 


梯形 逻辑 图 


x86 体系 结构 

如 我 们 所 知 ，x86 是 在 桌面 计算 机 、 移 动 计算 机 中 占据 统治 地 位 的 指令 集体 系 结构 。 
这 个 命名 源 自 于 Intel 公司 于 1978 年 设计 的 16 位 微 处 理 器 芯片 Intel 8086。8088 是 8086 
的 一 个 变 体 ， 用 于 早期 IBM PC， 且 该 处 理 器 系列 自 那 时 起 就 已 经 统治 了 PC 市 场 。 该 系 
列 的 后 续 处 理 器 都 采用 了 以 “86” 为 结尾 的 命名 ， 而 且 通 常 是 向 后 兼容 的 。 诞 生 于 1985 
年 的 Intel 80386 是 该 指令 集 的 第 一 款 32 位 版 本 处 理 器 。 现 在 ,“x86” 通 常 是 指 32 位 版 
本 ,而 64 位 版 本 被 命名 为 “x86-64”。2008 年 推出 的 Intel Atom 是 一 个 功 耗 已 经 显著 
降低 的 x86 处 理 器 ， 尽 管 其 主要 定位 于 笔记 本 电脑 和 其 他 小 型 便携 式 计算 机 ， 但 对 于 一 
些 谈 入 式 应 用 也 是 极 具 吸 引力 的 选择 。 除 Intel 之 外 ，AMD、Cyrix 及 诸多 其 他 半导体 厂 
商 也 都 已 经 实现 了 采用 x86 体系 结构 的 处 理 器 。 





8.1.2 DSP 处 理 器 


很 多 谍 和 人 式 应 用 中 都 要 进行 大 量 的 信号 处 理 。 信 号 是 物理 世界 采样 测量 值 的 集合 ， 通 党 
采用 称 为 采样 速率 的 常规 速率 进行 采集 。 例 如 ， 运 动 控制 应 用 可 能 要 以 几 赫 效 (Hz, e 
的 采样 次 数 ) 到 数 百 赫兹 的 频率 从 传感器 读 取 位 置 或 定位 的 信息 ; 音频 信号 的 采样 速率 范围 


O 有 兴趣 的 读者 可 以 继续 查阅 数学 中 的 不 动 点 概念 和 不 动 点 定理 。 一 一 译 者 注 
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从 8000Hz (或 8kHz， 电 话 中 的 采样 速率 ) 到 44.1kHz (CD 的 采样 速率 ); 超声 波 应 用 (如 媒 
体 成 像 ) 及 高 品质 音乐 会 要 求 更 高 的 频率 来 采样 声音 信号 等 。 通 常情 况 下 ， 消 费 电子 设备 中 
的 视频 采样 频率 为 25 或 30Hz， 对 于 特定 的 测量 应 用 则 可 能 需要 采用 更 高 的 采样 频率 。 每 一 
个 采样 包含 了 一 个 完整 的 图 像 〈( 称 为 帧 )， 其 包括 了 对 分 布 在 空间 的 (不 是 时 间 的 ) 多 个 采样 
( 称 为 像素 )。 软 件 定义 无 线 电 应 用 具有 从 数 百 kHz (用 于 基带 处 理 ) 到 数 GHz ( 数 十 亿 Hz) 
的 采样 速率 。 其 他 大 量 使 用 信和 号 处 理 的 戏 人 式 应 用 还 包括 交互 式 游戏 、 雷 达 、 声 呐 、LIDAR 
( 光 探 测 与 测 距 ) 成 像 系统 ( 常 称 为 激光 雷达 、 激 光 定 位 器 )、 视 频 分 析 ( 从 视频 中 提取 信息 ， 
如 监视 系统 )、 汽 车 驾驶 辅助 系统 、 医 疗 电子 以 及 科学 仪器 等 。 

所 有 的 信号 处 理应 用 都 具有 某 些 特性 。 首 先 ， 它 们 要 处 理 大 量 的 数据 。 这 些 数据 可 以 表 
现 为 物理 处 理 器 时 间 域 中 的 采样 (如 无 线 电 信和 号 的 采样 )、 空 间 中 的 采样 【如 图 像 ) 或 者 二 者 
针 是 (如 视频 和 雷达 等 )。 其 次 ， 它 们 通常 要 对 数据 进行 复杂 的 数学 运算 ,包括 滤波 、 系 统 
识别 、 频 率 分 析 、 机 器 学 习 以 及 特征 提取 等 ， 这 些 操作 都 是 数学 密集 型 的 。 

针对 数字 化 密集 信号 处 理应 用 所 设计 的 处 理 器 就 是 DSP 处 理 器 ， 或 者 简称 为 DSP 
( Digital Signal Processor)。 为 了 深入 理解 该 类 处 理 器 的 结构 以 及 对 软件 设计 者 的 影响 ， 首 先 
有 必要 来 了 解 一 下 典型 信号 处 理 算法 的 结构 。 

在 所 有 上 述 应 用 中 使 用 的 一 个 标准 信号 处 理 算法 是 有 限 冲 激 响 应 (FIR) 滤波 。 该 算法 
的 基本 形式 非常 简单 ， 但 是 其 对 硬件 却 具有 深远 的 影响 。 在 最 简 形 式 中 ,输入 信号 x 由 一 个 
非常 长 的 数值 序列 组 成 ， 基 于 设计 的 目的 ， 该 序列 被 认为 是 无 限 的 。 这 样 的 一 个 系统 可 以 被 
建 模 为 x : N 一 D， 其 中 马 是 某 个 数据 类 型 的 值 的 集合 >。 例 如 ,D 可 以 是 所 有 16 位 整数 的 
集合 ， 这 种 情形 下 ，x(0) 是 第 一 个 输入 值 (一 个 16 位 整数 )，x(1) 是 第 二 个 输入 值 ， 等 等 。 
为 了 便于 数学 表述 ， 我 们 可 以 通过 定义 n<0 时 x(n)=0， 将 模型 扩展 为 x : Z 一 D。 对 于 每 一 
个 输入 值 x(n)，FIR 滤波 器 可 由 式 〈8.1 ) 计算 出 一 个 输出 值 y(n)。 其 中 ,NN 为 FIR YEU AEE 
KE, ABC a, 是 滤波 器 的 抽 头 值 ( tap value)。 从 这 个 公式 可 以 看 出 为 什么 扩展 函数 x 的 定 
义 域 是 有 用 的 。 举 例 来 说 ，y(0) 的 计算 包括 了 值 x -1D、x(-2) 等 。 


N- 
y(n)= J ax(n—i) (8.1) 
i=0 


DSP 处 理 器 
面向 信号 处 理 的 专用 计算 机 体系 结构 已 经 存在 了 相当 长 的 一 段 时 间 ( Allen, 1975). 
单 片 的 DSP 微 处 理 器 最 早出 现 于 20 世 纪 80 年 代 早期 ， 最 初 有 贝尔 实验 室 的 Western 
Electric DSP1、AMI 的 S28211、TI 的 TMS32010, NEC 的 uPD7720 等 典型 产品 。 这 些 
芯片 的 早期 应 用 包括 了 话 带 数据 调制 解 调 器 、 语 音 合成 、 消 费 类 音频 、 图 形 以 及 磁盘 驱 


动 控制 器 等 。 在 (Lapsley et al., 1997) 中 可 以 找到 自 20 世纪 90 年 代 中 期 以 来 DSP 处 
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DSP 的 核心 特征 包括 硬件 乘 加 单元 、 多 种 哈佛 体系 结构 的 变 体 (哈佛 体系 结构 支持 
多 个 数据 和 程序 的 同时 取 操 作 )， 以 及 支持 自动 递增 的 寻 址 模式 、 环 形 缓 冲 区 和 位 翻转 寻 
址 (后 者 支持 FFT 计 算 )。 大 多 数 DSP 支持 16 一 24 位 精度 的 定点 数 ， 通 常 具有 更 宽 的 
加 法 器 (40 一 56 位 )， 从 而 可 以 执行 大 量 连续 的 乘 加 指令 而 不 会 发 生 溢出 。 现 在 ， 一 些 





O 要 回顾 相关 符号 的 含义 ， 可 参见 附录 A。 
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具有 浮 点 硬件 逻辑 的 DSP 已 经 出 现 ， 但 这 些 DSP 并 没有 主导 市 场 。 
与 RISC 体系 结构 相 比 ，DSP 的 编程 具有 较 大 难度 ， 这 主要 是 因为 其 复杂 的 专用 指 


令 、 编 程 人 员 需 了 解 的 流水 线 以 及 非 对 称 的 内 存 架 构 等 特性 。 直 到 20 世纪 90 年 代 后 
期 ， 这 些 处 理 器 几乎 一 直 在 使 用 汇编 语言 。 即 使 在 今天 ，C 语言 程序 还 在 普遍 使 用 基于 
汇编 语言 设计 的 函数 库 ， 以 充分 利用 这 些 体 系 结构 中 最 为 深奥 的 特性 。 





GED UL N=4, H apamama, HA, ATHAR NEN 有 如 下 算式 。 
y(n) = (x(n) + x(n—1) + x(n—2) + x(n-3))/4 
由 式 可 知 ， 各 输出 采样 是 最 近 四 个 输入 采样 的 平均 值 。 该 计算 组 件 的 结构 如 图 8-1 所 
示 。 该 图 中 ， 一 组 输入 值 从 左 侧 传 入 ， 并 传输 到 每 一 个 延迟 单元 后 引出 的 延迟 线 8。 这 个 结 
构 被 称 为 抽 头 延迟 线 (tapped delay line) 。 





图 8-1 示例 8.1 中 FIR 滤波 器 的 抽 头 延迟 线 实现 结构 
图 8-1 可 以 被 看 作 一 个 数据 流 图 。 对 于 每 一 个 n E N， 图 中 的 每 个 组 件 从 输入 路 径 上 获取 一 个 输入 值 并 向 输 
出 路 径 生 成 一 个 给 出 值 。 标 识 为 z-! 的 单元 是 单位 延迟 ， 它 们 的 功能 是 在 输出 路 径 上 生成 前 一 个 输入 的 值 (或 者 在 
没有 前 一 个 输入 时 的 一 个 初始 值 )。 三 角形 单元 给 它们 的 输入 乘 上 一 个 常数 ， 圆 形 单元 将 其 输入 进行 相 加 。 


提供 输入 值 x(n) 及 其 必须 被 处 理 的 速率 称 为 采样 率 。 如 果 知 道 了 采样 率 和 N， 就 可 以 确 
定 每 秒 必须 进行 的 算术 运算 次 数 。 


GUD 假设 一 个 FIR 滤波 器 以 IMHz 的 速率 采样 (每 秒 采样 一 百 万 次 )， 且 N=32， 然 
后 必须 以 1MHz 的 速率 来 计算 输出 ， 且 每 个 输出 需要 执行 32 次 乘法 和 31 次 加 法 。 由 此 ， 一 
个 处 理 器 必须 要 能 够 支持 每 秒 6300 万 次 的 算术 运算 操作 才能 实现 这 一 应 用 。 当 然 ， 为 了 保证 
计算 速率 ， 不 仅 要 求 计算 硬件 要 足够 快 ， 还 要 求 数据 进出 内 存 以 及 芯片 的 机 制 要 足够 快 。 


类 似 地 ， 图 像 可 以 被 建 模 为 一 个 函数 x: 态 xV 一 D， 其 中 五 CN 是 图 像 的 水 平 索 引 ， 
VON 表示 垂直 索引 , 忆 是 所 有 可 能 像素 值 的 集合 。 一 个 像素 (或 图 元 ) 表示 图 像 中 一 个 点 
的 颜色 和 亮度 值 的 采样 。 有 很 多 方法 可 以 用 于 这 一 表示 ,但 都 是 为 每 个 像素 分 配 一 个 或 多 个 
数值 。 太 入 集合 的 大 小 则 取决 于 图 像 的 分 辨 率 。 


《ER 现在， 模拟 电视 正在 稳步 地 被 数字 系统 所 取代 ， 如 由 先进 电视 系统 委员 会 
(Advanced Television Systems Committee) 所 制定 的 一 组 标准 ATSC。 在 美国 ， 绝 大 多 数 的 
ER NTSC 服务 已 经 在 2009 年 6 月 12 日 被 ATSC 标准 所 取代 。ATSC 支持 范围 从 24Hz 到 
60Hz 的 多 个 帧 速率 以 及 多 种 分 辨 率 。 例 如 ， 在 ATSC 标准 所 支持 的 高 清晰 视频 传输 中 ， 帧 


© delay line， 实 现 FIR 计算 中 的 z 延 时 。 一 一 译 者 注 
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速率 为 30Hz Ht ah HF T HK 1080X 1920 像素 。 此 时 有 H={0, =, 1919}, V={0, =, 1079}, 
工业 界 将 这 个 分 辨 率 称 为 1080p。 现 在 ,专业 视频 设备 可 以 达到 这 个 分 辩 率 的 四 倍 (4320X 
7680 )， 帧 速率 也 可 以 较 30Hz 更 高 。 较 高 的 帧 速率 对 于 捕捉 慢 动 作 中 的 瞬间 现象 是 有 益 的 。 


对 于 灰 度 图 像 ， 典 型 的 滤波 操作 将 会 依据 式 (8.2) 从 原始 图 像 * 构 造 出 一 个 新 的 图 
像 y。 这 是 一 个 二 维 的 FIR 滤波 器 ， 其 中 ，aww 是 滤波 器 系数 。 该 计算 要 求 将 x 定义 在 区 域 
HxV 之 外 。 对 此 ， 这 里 要 有 一 定 的 技巧 (以 避免 边界 效应 )， 但 就 此 处 的 目标 而 言 ， 我 们 仅 
需要 了 解 计算 的 结构 而 无 需 过 多 关注 于 细节 。 


VieH,jeV, y(i j)= 3 > anali- n,j-m) (8.2) 


n=-N m=- 


彩色 图 像 将 具有 多 个 颜色 通道 。 这 些 通道 可 以 表示 亮度 (像素 有 多 亮 ) 以 及 色 度 (像素 
的 颜色 是 什么 )， 或 者 它们 可 以 表示 通过 组 合 来 获得 任意 颜色 的 一 组 颜色 。 在 后 一 种 情形 中 ， 
常见 的 选择 是 RGBA 格式 ， 其 具有 代表 红色 、 绿 色 、 蓝 色 的 三 个 通道 以 及 一 个 表示 透明 的 
Alpha 通道 。 例 如 ，R、G、B 全 为 0 代表 黑色 ，A 的 值 为 0 表示 全 透明 (不 可 见 ) 等 。 每 一 
个 通道 都 有 一 个 最 大 值 ， 即 1.0。 如 果 所 有 的 四 个 通道 都 是 最 大 值 ， 由 此 所 产生 的 颜色 是 完 
全 不 透明 的 白色 。 

式 (8.2 ) 中 滤波 操作 的 计算 负载 取决 于 通道 数量 、 滤 波 器 系数 的 数量 CN 和 M 的 值 )、 
DHE (HAV EAHA) 以 及 帧 速率 。 


假设 在 示例 8.3 中 的 高 清晰 视频 信号 上 执行 式 (8.2) 所 给 出 的 滤波 操作 ，N=1 
E M=1 (有 效 滤波 器 的 最 小 值 )。 那 么 ， 输 出 图 像 y 的 每 一 个 像素 就 需要 执行 9 次 乘法 和 8 
次 加 法 。 假 设 有 一 个 三 通道 彩色 图 像 ( 即 RGB， 无 Alpha 通道 )， 那么 每 个 像素 将 需要 执行 
3 次 操作 ， 由 此 ， 对 于 每 一 帧 图 像 将 要 执行 1080Xx 1920 X 3 X 9=55,987,200 次 乘法 ， 以 及 数 
量 相近 的 加 法 。 帧 速率 为 每 秒 30 帧 时 ， 每 秒 将 要 执行 1,679,616,000 次 乘法 ， 以 及 相似 数量 
的 加 法 。 因 为 这 还 只 是 在 高 清晰 视频 信号 上 要 执行 的 最 简单 操作 ， 由 此 看 出 处 理 该 类 视频 信 
号 的 处 理 器 体系 结构 必须 具备 相当 快 的 处 理 能 


环形 缓冲 区 
FIR 滤波 器 需要 一 个 如 图 8-1 所 示 的 延迟 线 。 一 个 不 够 成 熟 的 实现 是 在 内 存 中 分 配 
一 个 数组 ， 且 当 每 一 个 输入 采样 到 来 时 ， ee -FR iB Sk 
从 而 为 第 一 个 到 来 的 新 元 素 腾 出 空间 a FE 
好 的 解决 方法 是 采用 环形 缓冲 区 ， po pis ae 
KEA 8 的 延迟 线 的 环形 缓冲 区 ， 其 标记 为 0 一 7 的 8 个 连续 内 存 位 置 存储 了 延迟 线 中 
的 值 。 指 针 p (初始 指向 位 置 0 ) 用 以 提供 对 这 些 位 置 的 访问 。 


P 
ie 
QTO 


FIR 滤波 器 可 以 使 用 该 环形 缓冲 区 来 实现 式 (8.1) 中 的 求 和 。 实 现 中 ， 首 先 接收 一 
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个 新 的 输入 值 x(n)， 进 而 从 i=N-1 项 (本 例 中 N=8 ) 开始 后 向 求 和 。 假 设 当 第 于 个 输入 
到 来 时 , p 的 值 是 p; E {0,…,7} (对 于 第 一 个 输入 x(0)，pj=0 )， 程 序 就 向 p 所 指向 的 位 
置 写 入 新 的 输入 x(n)， 进 而 递增 pp 的 值 ， 即 p=pj+1。p 上 的 所 有 运算 都 是 以 8 为 模 的 ， 
具体 来 说 就 是 ， 当 p=7 时 会 有 pit1=0。 然 后 ，FIR 滤波 器 计算 时 会 从 位 置 p=pi+1 读 取 
Xx(n 一 7)， 并 将 其 乘 以 a;， 计 算 结 果 被 存储 在 累加 器 寄存 器 中 。 之 后 ， 滤 波 器 又 给 加 1， 


将 其 设置 为 p=pi+2。 进 而 ， 从 p=pi+2 位 置 读 取 x(n-6)， 夹 以 as。， 并 将 结果 添加 到 累加 
器 中 (这 结合 寄存 器 解释 了 “累加 器 ”一 词 ， 是 因为 它 对 抽 头 延迟 线 中 的 项 进行 了 累加 )。 
滤波 器 继续 该 操作 直至 从 p=pt8 位 置 读 取 x(n)， 这 是 因为 模 运 算 的 位 置 与 最 后 一 个 输入 
x(n) 的 写 入 位 置 相同 ， 且 来 以 ao。 接 下 来 ,继续 增加 pp lh, p=pt9=prl, H36, Bit 
算 的 结果 是 ,pp 的 值 等 于 pt+1， 给 出 了 下 一 个 输入 x(n+1) 应 该 写 入 的 位 置 。 





除了 大 量 的 算术 运算 之 外 , DSP 处 理 器 必须 处 理 数据 沿 着 延迟 线 的 移动 ， 如 图 8-1 所 示 。 
通过 提供 对 延迟 线 和 乘 加 指令 的 支持 ， 如 示例 8.6，DSP 处 理 器 可 以 在 一 个 周期 内 实现 FIR 
滤波 器 的 一 个 抽 头 。 在 该 周期 内 ， 它 们 将 两 数 相 乘 ， 将 结果 添加 到 累加 器 ， 并 采用 模 运 算 来 
递增 或 递减 两 个 指针 。 


8.1.3 图 形 处 理 器 

图 形 处 理 单元 ( Graphics Processing Unit, GPU) 是 专 为 执行 图 形 演 染 计算 所 设计 的 专 
用 处 理 器 。 该 类 处 理 器 发 源 于 20 世纪 70 年 代 ， 当 时 被 用 于 演 染 文本 和 图 形 、 合 成 多 个 图 形 
fst, URE HIE. SAW, BABS. BARA GPU 支持 3D 图 形 、 阴 影 以 及 数字 视 
频 。 当 今 主要 的 GPU 提供 商 有 Intel, NVIDIA 和 AMD 等 公司 。 

GPU 非常 适合 于 某 些 特定 的 僚 入 式 应 用 ， 尤 其 是 游戏 设备 。 另 外 ，GPU 已 经 在 朝 着 
更 为 通用 的 编程 模型 发 展 ， 因 此 也 已 经 开始 出 现在 其 他 计算 密集 型 应 用 中 ， 如 仪器 仪表 等 。 
GPU 的 功 耗 通常 非常 大 ， 因 此 至 今 也 不 能 很 好 地 满足 能 量 受 限 的 嵌入 式 应 用 的 要 求 。 


8.2 并行 机 制 


当今 的 大 多 数 处 理 需 都 提供 了 不 同形 式 的 并 行 机 制 。 这 些 机 制 影响 程序 执行 的 时 间 特 
性 ， 因 此 ， 岩 入 式 系统 设计 者 必须 对 其 有 深入 的 理解 。 本 节 概 述 了 几 种 形式 及 其 可 能 对 系统 
设计 造成 的 一 些 影响 。 


8.2.1 并 行 与 并 发 

并 发 是 嵌入 式 系统 的 核心 。 当 计算 机 程序 的 不 同 部 分 在 概念 上 同时 执行 时 ， 这 个 程序 就 
是 并 发 的 。 如 果 这 个 程序 的 不 同 部 分 在 不 同 硬 件 (如 多 核 处 理 机 、 服 务 器 集群 中 的 多 人 台 服 务 
器 ， 或 者 不 同 的 微 处 理 器 等 ) 上 物理 地 同时 执行 时 ， 就 说 其 是 并 行 的 。 

非 并 发 程序 指定 了 要 执行 指令 的 序列 。 将 计算 表示 为 操作 序列 的 编程 语言 被 称 为 命令 式 
语言 8 。C 语言 就 是 一 种 命令 式 语 言 。 在 用 C 语言 来 编写 并 发 程序 的 时 候 ， 我 们 必须 要 脱离 
语言 本 身 ， 通 常 要 使 用 线程 库 。 线 程 库 使 用 的 功能 并 非 由 C 语言 提供 ， 而 是 由 操作 系统 和 /或 





日 或 强制 式 语言 。 一 一 译 者 注 
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硬件 提供 。Java EMA LEB Ostia To, ， 其 扩展 的 结构 可 以 直接 支持 线程 。 为 此 ， 开 
发 者 可 以 用 Java 编写 并 发 程序 而 无 需 脱 离 该 语言 本 身 。 

基于 命令 式 语 言 的 程序 ， 其 每 一 次 〈 正 确 ) 执行 必须 表现 出 指令 就 像 完 全 按照 指定 的 顺 
序 在 执行 一 样 。 然 而 ， 通 常 可 能 的 是 ， 以 并 行 方式 或 者 以 与 程序 所 指定 顺序 不 同 的 方式 来 执 
行 指令 仍然 可 以 得 到 与 它们 序列 化 执行 时 同样 的 效果 。 


GID 未 看 如 下 一 组 C 语句 。 


double pi, piSquared, piCubed; 

pi = 3.14159; 

piSquared = pi * pi ; 

piCubed = pi + pi * pi; 

后 两 条 语句 是 相互 独立 的 ， 因 此 它们 可 以 并 行 执行 或 者 以 相反 顺序 执行 ， 而 并 不 会 改变 
程序 的 行为 。 然 而 ,将 上 述 语句 写 为 如 下 形式 时 ， 它 们 将 不 再 是 相互 无 关 的 。 

double pi, piSquared, piCubed; 

pi = 3.14159; 

piSquared = pi * pi ; 

piCubed = piSquared * pi; 

在 这 种 情况 下 ， 最 后 一 条 语句 依赖 于 第 三 条 语句 ， 也 就 是 说 ， 第 三 条 语句 必须 在 最 后 一 
条 语句 开始 之 前 完成 执行 。 


如 果 目 标 处 理 平 台 支 持 并 行 ， 编 译 器 可 以 分 析 程 序 中 操作 之 间 的 依赖 性 并 生成 并 行 代 
码 。 该 分 析 被 称 作 数据 流 分 析 。 当 今 的 很 多 微 处 理 器 都 支持 并 行 执行 机 制 ， 其 使 用 多 发 射 指 
令 流 或 VLIW (Very Large Instruction Word， 超 长 指令 字 ) 体系 结构 。 多 发 射 指令 流 处 理 需 
可 以 同时 执行 相互 独立 的 指令 。 硬 件 分 析 竺 发射 指令 的 依赖 关系 ， 而 且 当 不 存在 依赖 时 ， 可 
以 在 同一 时 刻 执行 多 条 指令 。VLIW 体系 的 机 器 具有 支持 多 个 操作 一 起 执行 的 汇编 级 指令 。 
在 这 种 情况 下 ， 通常 要 求 编译 器 能 够 生成 合适 的 并 行 指令 。 在 这 些 案 例 中 ,依赖 性 分 析 是 在 
汇编 语言 或 者 单个 操作 的 层面 进行 的 ， 而 不 是 在 C 代码 行 的 层面 。 一 行 C 语句 可 以 指定 多 
个 操作 ， 甚 至 是 像 函 数 调 用 这 样 的 复杂 操作 。 在 上 述 多 发 射 和 VLIW 两 种 情形 中 ， 分 析 命 
令 式 程序 的 并 发 性 是 为 了 能 够 并 行 执 行 ， 总 的 目标 是 为 了 加 速 程序 的 执行 ， 从 而 改善 其 性 
能 。 当 然 ， 这 里 有 一 个 假设 ， 即 一 个 任务 尽早 完成 常常 要 比 其 更 晚 完 成 要 好 。 

然而 ， 在 伐 人 式 系统 ， 并 发 性 较 性 能 改善 更 为 核心 和 重要 。 艇 入 式 程 序 与 物理 进程 交 
互 ， 而 物理 世界 中 的 很 多 活动 是 同时 进行 的 。 舱 人 式 程序 常常 需要 监测 并 响应 并 发 的 激励 
源 ， 同 时 控制 影响 物理 世界 的 多 个 输出 装置 。 因 此 ， 衣 入 式 程 序 几乎 都 是 并 发 程序 ， 且 并 发 
性 是 该 类 程序 逻辑 的 固有 部 分 。 这 不 只 是 改善 性 能 的 一 种 方式 。 实 际 上 ， 尽 早 完成 一 个 任务 
并 不 一 定 比 更 晚 完成 这 个 任务 更 好 。 当 然 ， 及 时 性 也 是 很 重要 的 。 物 理 世 界 中 执行 的 动作 常 
常 需要 在 恰当 的 时 间 (不 早 也 不 晚 ) 进行 。 想 象 这 样 一 个 例子 ， 即 汽油 发 动机 的 引擎 控制 器 
中 ， 过 早 地 点 火 火 花 塞 并 不 会 比 过 晚点 火 更 好 ， 应 该 是 必须 在 恰当 的 时 间 进 行 点 火 。 

就 如 同 可 以 被 顺序 或 并 行 执行 的 命令 式 程序 一 样 ， 并 发 式 程序 也 可 以 以 顺序 或 并 行 的 方 
式 执行 。 现 在 ， 并 发 程序 的 顺序 执行 是 由 多 任务 操作 系统 完成 的 ， 其 在 单个 序列 化 的 指令 流 


O 不 是 纯粹 命令 式 的 ， 而 是 命令 式 与 函数 式 的 混合 。 一 一 译 者 注 
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中 交错 执行 多 个 任务 。 当 然 ， 如 果 处 理 器 具有 多 发 射 或 VLIW 体系 结构 ， 硬 件 就 可 以 支持 
实现 并 行 执行 。 因 此 ， 并 发 程序 可 以 被 操作 系统 转换 为 顺序 流 ， 并 由 硬件 转换 回 并 发 程序 ， 
而 后 一 种 转换 是 为 了 提升 性 能 。 这 些 转换 使 得 确保 事务 在 恰当 时 间 发 生 这 一 问题 变 得 非常 复 
杂 ， 具 体 将 会 在 第 12 章 进 行 阐述 。 

硬件 中 的 并 行 机 制 (本 章 的 主题 ) 是 为 了 提升 计算 密集 型 应 用 的 性 能 。 从 程序 员 的 角度 ， 
并 发 性 是 以 提升 性 能 为 目的 的 硬件 设计 的 成 果 ， 而 不 是 基于 要 解决 的 应 用 问题 。 换 句 话说 ， 
应 用 并 不 (必然) 要 求 多 个 活动 同时 进行 ， 其 仅 要 求 快速 地 处 理 这 些 事务 。 当 然 ， 很 多 值得 
关注 的 应 用 结合 了 由 并 行 性 和 应 用 需求 所 引起 的 并 发 形式 。 

计算 密集 型 嵌入 式 程序 中 的 算法 类 型 对 于 硬件 的 设计 有 着 深远 的 影响 。 在 本 节 我 们 聚焦 
于 实现 并 行 机 制 的 硬件 方法 ， 即 流水 线 、 指 令 级 并 行 及 多 核 体系 结构 。 这 些 方法 对 嵌入 式 软 
件 的 编程 模型 都 有 着 非常 大 的 影响 。 在 第 9 章 ， 我 们 会 讨论 对 并 行 实现 有 巨大 影响 的 存储 器 
系统 。 


8.2.2 流水 线 


大 多 数 现代 处 理 器 都 是 采用 流水 线 技术 设计 的 。 图 8-2 所 示 是 一 个 简单 的 32 位 五 级 流 
水 线 处 理 器 。 图 中 的 阴影 矩形 是 以 处 理 器 时 钟 频率 计时 的 锁 存 器 ， 在 时 钟 的 每 一 个 跳 沿 ， 输 
入 端的 值 被 存 入 锁 存 器 寄存 器 中 。 然 后 ， 输 出 就 一 直 保 持 不 变 直 至 下 一 个 时 钟 跳 沿 到 来 ， 这 
将 使 得 锁 存 器 之 间 的 电路 保持 稳定 。 这 个 图 可 以 被 看 作 处 理 咒 行为 的 同步 响应 模型 。 


数据 冲突 ( 计算 分 支 ) 











数据 冲突 ( 存储 器 读 取 结 果 或 ALU 运 算 结 果 ) 
取 指 解码 执行 访 存 回 写 


图 8-2 简单 的 流水 线 (MF Patterson 和 Hennessy (1996) 提出 ) 


在 流水 线 的 取 指 阶段 ， 程 序 计数 器 ( PC) 提供 一 个 指令 存储 器 中 的 地 址 。 指 令 存 储 器 
提供 编码 过 的 指令 ， 在 图 8-2 中 假定 为 32 位 宽 。 在 取 指 阶段 ，PC 的 值 增 加 4 ( 即 地 址 增加 
4 字 节 ) 就 能 够 得 到 下 一 条 指令 的 地 址 ， 直 到 条 件 分 支 指令 为 PC 提供 一 个 全 新 的 地 址 。 在 
流水 线 的 解码 阶段 ， 从 32 位 的 指令 中 提取 出 寄存 器 地 址 ， 并 将 数据 读 和 人 寄存 器 组 中 的 一 组 
特定 寄存 器 。 在 执行 阶段 ， 由 执行 算术 和 逮 辑 运算 的 算术 逻辑 单元 (Arithmetic Logic Unit, 
ALU) 对 取 自 寄存 器 的 数据 或 PC (计算 分 支 ) 进行 运算 。 访 存 阶 段 对 寄存 器 给 出 的 内 存 地 址 
进行 读 或 写 操作 。 流 水 线 的 回 写 阶段 则 将 结果 存储 到 寄存 器 文件 。 

DSP 处 理 器 中 通常 会 增加 一 或 两 个 额外 阶段 来 执行 乘法 运算 ， 为 地 址 计算 提供 单独 的 一 
组 ALU， 为 同时 访问 两 个 操作 数 提供 双 数 据 存储 器 〈 被 称 为 哈佛 体系 结构 )。 但 是 ， 没 有 该 
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类 单独 ALU 的 简单 版 本 就 足以 说 明 舱 入 式 系统 设计 人 员 所 面临 的 问题 。 
流水 线 中 锁 存 器 两 两 之 间 的 部 分 可 以 并 


硬件 资源 : 
行 运行 。 因此， 我 们 就 能 立即 看 出 有 五 条 指 指令 存储 器 [ATBTCTDTE] 
令 可 以 同时 执行 。 这 可 以 方便 地 表示 为 预约 读 寄存 器 组 1 可 
表 (reservation table)， 如 图 8-3 所 示 。 表 的 读 寄存 器 组 2 
左 侧 是 可 同时 使 用 的 硬件 资源 。 在 这 种 表示 i 
情形 下 ， 寄 存 器 组 出 现 了 三 次 ， 这 是 因为 图 iat 





8-2 中 的 流水 线 假定 在 每 个 周期 中 可 以 对 寄 


12343536787 
存 器 文件 进行 两 次 读 和 一 次 写 操作 。 am 


图 8-3 中 的 预约 表 给 出 了 程序 指令 A, 
B、C、D、E 的 序列 。 在 第 5 个 指令 周期 ， 
这 五 条 指令 并 行 执行 : 取 指 令 耻 时， 指令 D 在 读 取 寄存 器 组 ，C 在 使 用 ALU，B 在 读 或 写 
存储 器 ， 而 A 正 将 结果 写 回 寄存 器 组 。 指 令 A 的 写 操作 出 现在 第 5 个 周期 中 ,但 指令 B 的 
读 操 作出 现在 第 3 个 周期 。 由 此 ,指令 B 读 取 的 值 并 不 会 是 指令 A 所 写 的 值 。 这 种 现象 被 
称 为 数据 冲突 (data hazard， 或 数据 依赖 、 数 据 竞 争 )， 是 流水 线 冲突 的 一 种 形式 。 流 水 线 冲 
突 是 由 图 8-2 中 的 虚线 所 示 关 系 所 导致 的 。 程 序 员 通常 期 望 如 果 指 令 A 先 于 指令 B， 那 么 A 
的 任何 计算 结果 对 B 都 将 是 可 用 的 ， 因 此 这 种 冲突 行为 是 完全 不 可 接受 的 。 

计算 机 设计 人 员 已 经 采用 各 种 各 样 的 方式 来 处 理 流 水 线 冲突 问题 。 最 简单 的 是 一 种 称 为 
显 式 流 水 线 的 技术 。 该 技术 中 仅 给 出 了 流水 线 冲 突 的 说 明 ， 实 际 中 程序 员 (或 编译 器 ) 必须 
对 该 冲突 进行 处 理 。 例 如 ， 在 指令 B 读 取 指令 A 所 写 寄存 器 的 例子 中 ， 编 译 器 可 以 在 指令 
A 和 B 之 间 插 入 三 条 空 指令 (no-op 指令 ， 无 任何 操作 的 指令 )， 以 确保 写 操作 在 读 操作 之 
前 。 这 些 空 指令 形成 了 沿 着 流水 线 传播 的 流水 线 气泡 (pipeline bubble), 

更 为 复杂 的 技术 是 提供 互 锁 (interlock) 机 制 。 在 该 技术 中 ， 指 令 解 码 硬件 在 遇 到 要 读 
取 指 令 A 所 写 人 寄存 需 的 指令 B 时 ， 将 检测 冲突 并 推迟 指令 B 的 执行 直至 指令 A 已 经 完 
成 回 写 步 又。 对 于 该 流水 线 ， 指 令 B 需要 被 延迟 三 个 时 钟 周 期 以 保证 指令 A 完成 执行 ， 如 
图 8-4 所 示 。 如 果 提 供 了 稍微 复杂 的 转发 巡 辑 ， 其 检测 到 指令 A 正在 写 由 指令 B 正在 读 的 
位 置 ， 则 直接 提供 数据 而 不 是 要 求 写 操作 出 现在 读 操作 之 前 ， 那 么 就 可 以 减少 至 两 个 时 钟 周 
期 。 因 此 ， 互 锁 为 硬件 提供 了 自动 插入 流水 线 气 泡 的 机 制 。 

另外 一 个 更 为 复杂 的 技术 是 乱 序 执行 (out-of-order execution)， 其 提供 了 检测 冲突 的 硬 
件 。 冲 突 发 生 时 ,硬件 并 不 是 简单 地 延迟 指令 B 的 执行 ， 而 是 继续 取 指 令 C, ' 且 如 果 指 令 


图 8-3 图 8-2 所 示 流 水 线 的 预约 表 





C 并 不 读 取 指 令 A 或 指令 B 所 写 的 寄存 器 ， 硬件 资源 : 
WA BS BRAN A at, IBA HEAT BS trite 
以 在 指令 B 之 前 执行 指令 C。 这 可 以 进一步 se 3 
减少 流水 线 气泡 的 数量 。 au Le 
如 图 8-2 所 示 流 水 线 冲 突 的 男 一 种 形式 数据 存储 器 Tale 
是 控制 冲突 (control hazard， 或 控制 依赖 、 写 寄存 器 组 E [Blclpls| 


控制 竞争 )。 该 图 中 ， 如 果 一 个 专用 寄存 器 123456789012 
的 值 为 0， 那 么 条 件 分 支 指令 将 改变 PC 寄 周期 


存 器 的 值 。PC 的 新 值 由 ALU 的 运算 结果 提 
供 (可 选 )。 在 这 种 情况 下 ， 如 果 指 令 A 是 


图 8-4 图 8-2 中 流水 线 的 带 互 锁 预 约 表 (假设 指 
令 B 读 由 指令 A 写 人 的 寄存 器 ) 
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条 件 分 支 指令 ， 那 么 在 PC 的 值 被 更 新 之 前 A 必须 已 经 到 达 访 存 阶段 。 存 储 器 中 紧 跟 A 的 
这 些 指令 将 已 被 取出 ， 并 在 确定 这 些 指令 实际 上 不 会 被 执行 的 时 刻 它们 已 经 处 于 解码 和 执行 
阶段 了 。 

与 数据 冲突 类 似 ， 很 多 技术 都 可 用 于 处 理 控制 冲突 问题 。 延 迟 分 支 ( delayed branch) 只 
是 说 明 这 一 事实 ， 即 该 分 支出 现 之 后 将 在 一 定 的 周期 内 执行 ， 县 体 则 留 给 程序 员 (或 编译 器 ) 
决定 ， 以 确保 条 件 分 支 指令 之 后 的 指令 要 么 是 无 害 的 (如 no-op 指令 )， 要 么 做 一 些 不 依赖 于 
该 分 支 是 否 被 采用 的 有 用 工作 。 互 锁 机 制 提 供 了 硬件 ， 从 而 可 以 根据 需要 插入 流水 线 气泡 ， 
这 一 点 与 数据 冲突 一 样 。 在 推测 执行 ( speculative execution) 这 一 最 为 复杂 的 技术 中 ， 硬 件 
会 预测 该 分 支 是 否 可 能 被 选取 ， 进 而 开始 执行 它 所 希望 执行 的 指令 。 如 果 没 有 达到 它 的 预 
期 ， 其 将 会 消除 预测 性 指令 执行 所 引起 的 任何 影响 (如 寄存 器 写 等 )。 

除了 显 式 流水 线 和 延迟 分 支 外 ， 所 有 这 些 技术 都 引入 了 指令 序列 执行 时 间 的 可 变性 。 对 
于 具有 复杂 转发 和 预测 能 力 的 深度 流水 线 ， 程 序 的 时 序 分 析 会 变 得 极为 困难 。 在 时 间 精 确 度 
至 关 重 要 的 环境 中 ，DSP 处 理 器 一 般 都 采用 显 式 流水 线 。 乱 序 及 推测 执行 常见 于 通用 处 理 
器 ， 因 为 时 序 仅 在 整体 意义 上 是 重要 的 。 艇 入 式 系 统 的 设计 者 需要 理解 应 用 需求 ， 并 且 要 避 
免 使 用 无 法 达到 所 需 时 间 精 度 水 平 的 处 理 器 。 


8.2.3 指令 级 并 行 

要 实现 更 好 的 性 能 ， 一 种 方式 就 是 硬件 的 并 行 化 。 该 类 并 行 机 制 可 以 采用 两 种 主体 形 
式 ， 即 多 核 体 系 结构 (将 在 8.2.4 节 讨论 ]， 或 者 本 节 即 将 要 讨论 的 指令 级 并 行 (ILP) 机 制 。 
支持 指令 级 并 行 的 处 理 器 可 以 在 每 一 个 指令 周期 执行 多 条 独立 的 操作 。 本 节 将 讨论 四 种 主要 
的 ILP 形式 : CISC 指令 、 子 字 并 行 ” 、 超 标量 以 及 VLIW。 

1. CISC 指令 

采用 复杂 指令 (通常 是 非常 专用 的 ) 的 处 理 器 被 称 为 CISC 处 理 机 ( Complex Instruction 
Set Computer) 。 该 类 处 理 器 的 设计 思想 与 RISC 处 理 机 ( Reduced Instruction Set Computers) 
( Patterson and Ditzel, 1980) 完全 不 同 。DSP 通常 都 是 CISC 处 理 机 ， 并 且 包 括 了 专门 支持 
FIR 滤波 〈 以 及 一 些 其 他 算法 ， 如 快速 傅 里 叶 变换 (FFT)、 维 特 比 解码 算法 等 ) 的 一 组 指令 。 
实际 上 ， 要 实现 DSP， 一 个 处 理 器 必须 能 够 在 每 个 抽 头 的 一 个 指令 周期 中 执行 FIR 滤波 。 


TRIERS 德州 仪器 (TI) 的 TMS320c54x 系列 DSP 旨 在 用 于 信号 处 理性 能 要 求 高 且 
功率 受 限 的 暴 入 式 应 用 ， 如 无 线 通信 系统 以 及 个 人 数字 助理 (Personal Digital Assistant, 
PDA)。 式 (8.1) 给 出 的 FIR 计算 所 对 应 的 内 循环 代码 如 下 。 

1 RPT numberOfTaps - 1 

2 MAC *AR2+, *AR3+, A 

第 一 条 指令 给 出 了 DSP 中 常见 的 零 开 销 循 环 ( zero-overhead loop， 也 译 为 零 耗 循环 )， 
其 之 后 指令 的 执行 次 数 等 于 RPT 指令 参数 加 1。MAC 是 一 条 乘 加 指令 (multiply-accumulate 
instruction)， 同 样 流行 于 DSP 体系 结构 中 。 该 指令 有 三 个 参数 并 实现 如 下 计算 : 

aisatxty 

其 中 ,a 是 累加 器 寄存 器 A 的 值 , x 和 了 是 内 存 中 的 数值 。 这 些 值 的 地 址 存放 在 辅助 寄 
存 器 AR2 和 AR3 中 。 被 访问 之 后 ， 这 些 寄 存 器 中 的 值 会 自动 说 增 。 另 外 ， 这 些 寄 存 器 也 可 
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被 设置 来 实现 一 个 环形 缓冲 区 (参见 “环形 缓冲 区 ”注解 栏 )。 

该 c54x 处 理 器 有 一 块 支持 单 周 期 可 访问 两 次 的 片上 存储 器 ， 而 且 只 要 地 址 指向 了 该 存 
EKR, MAC 指令 将 在 一 个 单 周 期 内 执行 。 由 此 ， 处 理 器 可 以 在 每 一 个 周期 中 执行 两 次 存 
储 器 取 值 、 一 次 乘法 、 一 次 普通 加 法 和 两 次 地 址 递增 (可 能 是 模 计 算 ) 操作 。 所 有 DSP HH 
备 类 似 的 能 力 。 


GEIR (8.1) 中 FIR 滤波 器 的 系数 通常 是 对 称 的 ， 意 味 着 NW 是 偶数 是 有 如 下 
关系 。 
a;= Ay-;-) 
究 其 原因 ， 该 类 滤波 器 都 有 线性 相位 (直观 地 讲 ， 这 意味 着 对 称 的 输入 信号 会 产生 对 称 
的 输出 信号 ,或 者 说 所 有 的 频率 分 量 都 被 延 了 相同 的 量 )。 在 这 种 情况 下 ， 可 以 通过 重 写 
A (8.1) 来 减少 乘法 的 数量 ， 重 写 后 的 方程 如 下 。 
= on 
TMS320c54x 的 指令 集中 包括 了 一 个 FIRS 指令 ， 该 指令 的 功能 与 示例 8.6 中 的 MAC 相 
似 ， 但 其 使 用 了 上 面 这 个 算式 而 并 非 式 (8.1)。 这 发 挥 出 了 c54x 有 两 个 ALU 的 优势 ， 因 
此 可 以 做 两 倍 于 乘法 数量 的 加 法 。 由 此 ， 一 个 FIR 滤波 器 的 执行 时 间 就 降低 为 每 个 抽 头 1/2 
周期 。 


CISC 指令 通常 是 非常 深奥 与 复杂 的 。 当 然 ，CISC 指令 集 也 有 明显 的 缺点 。 其 一 ， 对 
于 编译 器 而 言 ， 要 优化 地 使 用 该 指令 集 是 非常 具有 挑战 性 的 事情 (甚至 是 不 可 能 的 )。 因 此 ， 
DSP 处 理 融 常常 与 基于 汇编 语言 编写 和 优化 的 代码 库 一 起 使 用 。 

其 二 ，CISC 指令 集 可 能 有 敏感 的 时 序 问题 ， 其 可 能 会 干扰 到 硬 实时 调度 。 在 以 上 示例 
中 ,存储 器 中 的 数据 布局 对 于 执行 时 间 有 巨大 影响 。 更 为 微妙 的 是 ， 零 开销 循环 (之 前 的 
RPT 指令 ) 的 使 用 可 能 会 引入 一 些 麻烦 。 例 如 ， 在 TI 的 c54x 处 理 吕 上， 在 循环 执行 RPT 
之 后 的 指令 期 间 中 断 会 被 禁用 ， 这 可 能 导致 不 可 预期 的 中 断 响应 延迟 。 

2. 子 字 并 行 

诸多 内 人 式 应 用 会 操作 比 处 理 器 字 长 小 得 多 的 数据 类 型 。 


GED 在 示例 8.3 和 示例 8.4 中 ， 数 据 类 型 是 典型 的 8 位 二 进 制 数 ， 每 个 数据 表示 
一 个 颜色 强度 。 在 RGB 格式 中 ， 像 素 的 颜色 可 能 被 表示 为 三 字 节 ， 每 一 个 RGB 字 节 的 什 
都 是 从 0 到 255， 代 表 了 相应 颜色 的 强度 。 那 么 ， 如 果 使 用 64 ALU 来 处 理 单个 8 位 数 就 
会 对 资源 造成 浪费 。 


为 了 支持 这 些 数据 类 型 ， 一 些 处 理 器 开始 支持 子 字 并 行 机 制 ， 其 允许 一 个 宽 字 长 的 
ALU 被 划分 为 几 个 较 窗 的 单元 ， 以 使 得 可 以 在 较 小 的 字 长 上 同时 进行 几 个 算术 或 罗 辑 运算 。 


GED Intel 在 广泛 应 用 的 通用 奔腾 处 理 器 中 引入 了 子 字 并 行 技术 ， 并 将 其 称 为 
MMX ( Multi Media Extension， 多 媒体 增强 ) (Eden and Kagan, 1997), MMX 指令 将 64 位 
宽 的 数据 通路 划分 为 一 组 8 位 宽 的 子 通 路 ， 进 而 支持 在 图 像 像 素数 据 的 多 字 节 上 同时 进行 相 
同 的 操作 。 该 技术 已 被 用 于 提高 图 像 处 理应 用 以 及 视频 流 应 用 的 性 能 。Sun Microsystems 和 
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HP ( Hewlett Packard) 分 别 在 Sparc 4 #2 # (Tremblay et al., 1996), PA RISC 4 32 # (Lee, 
1996) 中 引入 了 类 似 的 技术 。 很 多 面向 底 入 式 应 用 的 处 理 器 体系 结构 设计 ， 包 括 诸多 DSP 
处 理 器 ， 也 都 支持 子 字 并 行 。 


向 量 处 理 器 ?是 这 样 的 一 类 处 理 器 : 其 指令 集 可 以 同时 操作 一 组 数据 元 素 。 子 字 并 行 就 
是 向 量 处 理 的 典型 形式 。 

3 ， 超 标量 体系 

超标 量 处 理 器 使 用 了 相当 传统 的 顺序 指令 集 ， 但 当 硬 件 检测 到 同时 发 射 多 条 指令 不 会 影 
响 程 序 行为 时 ， 将 会 把 这 些 指令 同时 发 射 到 不 同 的 硬件 单元 。 也 就 是 说 ， 程 序 的 执行 效果 与 
其 顺序 执行 时 的 效果 相同 。 该 类 处 理 器 甚至 支持 乱 序 执行 ， 即 指令 流 中 后 到 的 指令 可 以 先 于 
之 前 的 指令 执行 。 超 标量 处 理 器 对 于 嵌入 式 系统 而 言 存在 一 个 严重 的 不 足 : 执行 时 间 的 预测 
极为 困难 ， 而 且 在 多 任务 处 理 (多 中 断 与 多 线程 ) 的 情况 中 这 甚至 可 能 是 不 可 重复 的 。 然 而 ， 
执行 时 间 对 于 中 断 的 精确 时 间 特 性 可 能 会 非常 敏感 ， 因 为 时 间 特 性 上 的 小 偏差 可 能 会 对 程序 
的 执行 时 间 造 成 很 大 的 影响 。 

4. 超 长 指令 字 

面向 嵌入 式 应 用 的 处 理 器 通常 会 采用 VLIW 体系 结构 而 不 是 超标 量 架 构 ， 以 获得 可 重 
复 性 、 可 预测 性 更 好 的 时 序 。 类 似 于 超标 量 处 理 器 ，VLIW 处 理 器 包括 了 多 个 功能 单元 ， 每 
一 条 指令 指定 每 个 功能 单元 在 特定 周期 应 该 做 什么 ， 而 不 是 动态 地 确定 哪些 指令 能 够 同时 执 
行 。 也 就 是 说 ， 在 VLIW 指令 集中 ， 一 条 指令 会 包括 多 个 相互 无 关 的 操作 。 与 超标 量 体 系 
结构 相似 ， 这 些 操作 会 在 不 同 的 硬件 上 同时 得 到 执行 。 然 而 ， 与 超标 量 不 同 的 是 ， 执 行 顺序 
和 同时 性 在 程序 中 是 固定 的 ， 而 并 非 在 执行 过 程 中 动态 确定 。 那 么 ， 程 序 员 (使 用 汇编 语言 
级 的 ) 或 编译 器 就 必须 要 确保 这 些 同时 执行 的 操作 确实 是 相互 独立 的 。 作 为 这 一 额外 编程 复 
杂 性 的 回报 ， 其 执行 时 间 是 可 重复 和 (经常) 可 预测 的 。 


ED 在 示例 8.7 中 ,我 们 已 经 看 到 c54x 体系 结构 的 专用 指令 FIRS， 其 就 两 个 
ALU 和 一 个 乘法 器 指定 了 相关 操作 。 这 可 被 认为 是 VLIW 的 原始 形式 ， 但 其 后 几 代 处 理 器 
的 VLIW 特性 则 更 为 明确 。TI 的 TMS320c55X 是 c54x 之 后 的 下 一 代 产 品 ， 其 有 两 个 乘 加 单 
元 并 可 以 支持 如 下 形式 的 指令 。 

1 MAC *AR2+, *CDP+, ACO 

2 :: MAC *AR3+, *CDP+, AC1 

这 里 ，AC0 F ACI 是 两 个 累加 器 寄存 器 ，CDP 是 一 个 用 于 指向 滤波 器 系数 的 专用 寄存 
器 。 符 号 :: 表示 这 两 条 指令 应 该 在 同一 个 周期 内 被 发 射 和 执行 ， 而 程序 员 和 编译 器 则 必须 
确定 这 些 指令 是 否 真 的 能 够 被 同时 执行 。 假 设 存储 器 地 址 是 可 以 同时 获取 的 ， 那 么 这 两 条 
MAC 指令 就 可 以 在 一 个 单 周期 内 执行 ， 有 效 地 将 执行 FIR 滤波 器 所 需 的 时 间 减 半 。 


对 于 要 求 高 性 能 的 应 用 ，VLIW 体系 结构 可 能 会 更 加 复杂 。 


GALES TI 的 6000 系列 处 理 器 具有 VLIW 指令 集 。 该 处 理 器 家 族 有 三 个 处 理 器 子 
系列 ， 即 c62x、c64x 定点 处 理 器 以 及 c67x 浮 点 处 理 器 。 这些 处 理 器 被 设计 用 于 无 线 基站 
(如 蜂窝 基站 、 自 适应 天 线 等 )、 电 信 设 施 (如 VoIP 和 视频 会 议 ) 和 影像 应 用 (如 医疗 影像 、 
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监控 、 机 器 视觉 或 检测 ， 以 及 雷达 等 )。 


GEIR NXP 的 TiMedia 处 理 器 系列 瞄准 了 数字 电视 应 用 ， 可 以 非常 高 效 地 执行 类 
似 于 式 (8.2) 中 的 操作 。 飞 利 浦 公司 是 生产 平板 电视 、 产 品 多 元 化 的 消费 电子 公司 ，NXP 
半导体 曾 是 飞利浦 公司 的 一 员 。TriMedia 体系 结构 的 方略 是 使 得 编译 器 生成 高 效 代码 更 加 容 
易 ， 减 少 对 汇编 级 编程 的 需求 (虽然 它 包 括 了 那些 编译 器 难以 利用 的 专用 CISC 指令 )。 通 过 
提供 较 典 型 寄存 器 组 (128 个 寄存 器 ) 更 大 的 寄存 器 组 、 一 个 允许 多 指令 同时 发 射 的 类 CISC 
指令 集 ， 以 及 硬件 对 IEEE 754 浮 点 操作 的 支持 ， 编 译 器 的 处 理工 作 就 会 容易 很 多 。 


定 点 数 
很 多 谈 入 式 处 理 器 仅 提供 整数 运算 的 硬件 。 但 要 注意 的 是 ， 整 数 运算 并 不 能 应 用 于 
非 整 型 数 。 对 于 一 个 16 位 整 型 数 ， 程 序 员 可 以 假定 一 个 与 十 进 制 小 数 点 类 似 的 二 进 制 
小 数 点 ， 其 划分 的 是 二 进 制 位 而 不 是 数字 。 例 如 ， 通 过 在 最 高 位 之 后 放置 一 个 (MAL 
的 ) 二 进 制 小 数 点 ， 一 个 16 位 的 整 型 数 就 可 以 被 用 来 (粗略 地 ) 表示 -1.0~1.0 范围 的 
数 ， 如 下 所 示 。 


最 低位 
最 高 位 


i 二 进 制 小 数 点 


没有 这 个 小 数 点 时 ， 这 个 16 位 数 是 一 个 整数 x E 2", …, 27-1} (假定 以 二 进 制 
补 码 来 表示 ， 这 是 有 符号 数 的 常见 表示 方法 )。 使 用 二 进 制 小 数 点 时 ， 我 们 将 该 16 位 数 
解释 为 表示 数 y=x/2“。 由 此 , ?的 取 值 范围 为 -1 到 1-2 “”。 这 就 是 定点 数 fixed-point 
number)。 这 个 定点 数 的 格式 可 以 被 写 为 “1.15”， 这 表示 小 数 点 左 侧 有 1 位， 小 数 点 右 
侧 共 15 位 。 当 这 样 的 两 个 数 全 精度 相 乘 时 ， 其 结果 是 一 个 32 位 数 ， 其 二 进 制 小 数 点 的 


位 置 如 下 所 示 。 
= 最 高 位 最 低位 


Me 二 进 制 小 数 点 


二 进 制 小 数 点 的 位 置 由 位 守恒 定律 (law of conservation of bits) 得 出 。 该 定律 表示 ， 
当 两 个 格式 为 n.m 和 .4 的 二 进 制 数 相 乘 时 ， 结 果 的 格式 为 (ntp).(m+q)。 处 理 器 通常 支 
持 这 一 全 精度 乘法 ， 其 结果 存放 在 至 少 两 倍 于 原始 数据 寄存 器 长 度 的 累加 器 寄存 器 中 。 
然而 ， 为 了 将 该 结果 写 回 数据 寄存 器 ， 我 们 就 必须 从 32 位 的 结果 中 提取 出 16 位 数据 。 
如 果 我 们 提取 出 下 面 阴 影 数据 位 ， 就 保留 了 二 进 制 小 数 点 的 位 置 ， 而 且 该 结果 也 仍 将 大 
致 地 表示 -1 到 1 范围 的 数 。 

然而 ， 从 32 位 结果 中 提取 一 个 16 位 数 会 造成 信息 的 丢失 。 首 先 ， 由 于 丢掉 了 最 高 
位 ， 就 会 存在 溢出 的 可 能 。 假 定 两 个 相 乘 的 数 都 为 -1， 其 二 进 制 补 码 表示 及 相 乘 后 的 结 
果 分 别 如 下 所 示 。 
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-1 的 二 进 制 补 码 [0ToToToToToTOTOToToTOTOTOTOTO] 
32 位 结果 [OUUOTIOIOIOIOTIOIOTIOIOIOIOIOIOTIOIOIOIOIOTOIOIOIOIOTIOIOIOTOTIOTOTO 


结果 以 二 进 制 补 码 表示 时 为 1， 是 正确 的 。 但 是 当 我 们 从 中 提取 了 阴影 部 分 的 16 
Ae, MRR -11 KEE, EAMBALU SORE 1, HEPATES, OA 
员 必 须 对 这 一 点 保持 警惕 ， 如 要 确保 所 有 数 的 值 都 严格 地 小 于 1， 禁 止 为 一 1。 

第 二 个 问题 是 当 我 们 从 32 位 结果 中 提取 出 阴影 部 分 的 16 位 二 进 制 数 时 ， 就 丢掉 了 
其 后 的 低 15 位 。 这 会 造成 信息 丢失 。 如 果 只 是 简单 地 丢掉 低 15 位 ， 这 种 策略 被 称 为 截 
断 (truncation ) 。 相 反 地 ， 如 果 我 们 为 32 位 结果 增加 以 下 位 模式 ， 这 个 结果 就 称 为 是 舍 
A (rounding) 的 。 舍 入 选择 了 最 接近 全 精度 结果 的 值 ， 而 截断 选择 了 最 接近 结果 的 较 


当 把 数据 从 累加 器 移动 到 通用 寄存 器 或 存储 器 时 ，DSP 处 理 器 通常 会 在 硬件 中 进行 
以 上 全 入 或 截断 处 理 。 


C 语言 中 的 定点 运算 
对 非 整 型 数 进行 运算 时 ， 大 多 数 C 程序 员 将 使 用 float 或 double 数据 类 型 。 然 而 ， 
很 多 嵌入 式 处 理 器 缺少 用 于 浮 点 运算 的 硬件 。 因 此 使 用 float 或 double 数据 类 型 的 C 程 
序 通常 会 导致 执行 速度 慢 得 难以 接受 ， 这 是 因为 不 得 不 在 软件 中 模拟 浮 点 运算 。 程 序 员 


被 迫使 用 整 型 运算 来 实现 对 非 整 型 数 的 操作 。 那 么 ， 他 们 会 如 何 处 理 呢 ? 

首先 ， 程 序 员 可 以 使 用 二 进 制 小 数 点 的 概念 来 解释 一 个 以 不 同 于 标准 表示 的 32 位 
整 型 数 (int) (参见 “定点 数 ”注解 栏 )。 然 而 ， 当 一 个 C 程序 指定 两 个 int 数 相 乘 时 ， 其 
结果 也 是 int 型， 而 不 是 我 们 所 需要 的 全 精度 64 位 数 。 实 际 上 ， 前 文 所 列 出 的 策略 ， 即 
在 二 进 制 小 数 点 的 左 侧 放 置 一 位 并 从 结果 中 抽取 阴影 部 分 的 数位 ， 将 不 再 有 效 ， 这 是 因 
为 大 多 数 的 阴影 数位 将 从 结果 中 丢失 。 例 如 ， 假 定 我 们 要 用 0.5 乘 以 0.5。 这 个 数 可 以 表 
示 为 如 下 所 示 的 32 位 整 型 数 。 


Oilolololololololololololololololololololololololololololololo 


由 于 没有 小 数 点 (这 对 C 程序 和 硬件 并 不 可 见 ， 仅 存在 于 程序 员 的 脑海 中 )， 这 个 位 
模式 就 表示 了 整 型 数 20， 实 际 上 是 一 个 大 数 。 当 这 两 个 数 相 乘 时 ， 其 结果 就 会 是 int 型 
无 法 表示 的 2”。 通 常 处 理 器 会 设置 处 理 器 状态 寄存 器 (这 是 程序 员 必须 检查 的 ) P hg i 
出 位 ， 并 且 给 出 一 个 结果 0， 即 乘积 的 低 32 位 。 

为 了 防止 这 个 问题 ， 在 做 乘法 之 前 程序 员 可 以 将 每 一 个 32 位 整 型 数 向 右 移动 16 
位 。 这 种 情况 下 ，0.5 x 0.5 的 结果 是 如 下 位 模式 。 


0Jollololololololololololololololololololololololololololololol 


基于 位 模式 中 所 示 的 小 数 点 ， 该 结果 就 被 解释 为 0.25， 即 正确 的 结果 。 当 然 ， 向 右 
的 16 位 移 位 操作 丢失 了 整 型 数 的 低 16 位 ， 精 度 的 损失 相当 于 截断 。 程 序 员 也 可 能 希望 
以 四 舍 五 入 来 进行 代替 ， 即 在 向 右 移 动 16 位 之 前 先 给 这 些 数 加 上 一 个 整 型 值 25。 浮 点 
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数 类 型 使 这 些 处 理 变 得 更 加 简单 。 硬 件 〈 或 软件 ) 跟踪 所 需 的 移 位 数量 ， 并 尽 可 能 保持 


精度 。 然 而 ， 并 非 全 部 带 有 浮 点 硬件 的 嵌入 式 处 理 器 都 符合 IEEE 754 标准 。 这 可 能 使 
程序 员 的 设计 过 程 复杂 化 ， 因 为 数值 结果 与 台式 计算 机 所 产生 的 结果 将 不 一 致 。 





8.2.4 ”多核 体系 结构 


Zt (Multicore) 处 理 机 是 多 个 处 理 需 在 单个 芯片 上 的 组 合 。 虽 然 多 核 处 理 机 在 20 世 
纪 90 年 代 初期 就 已 经 出 现 ， 但 直到 最 近 才 延伸 至 通用 计算 ， 继 而 在 今天 引起 了 众多 关注 。 
异 构 多 核 (Heterogeneous multicore) 处 理 机 在 单个 芯片 上 组 合 了 不 同类 型 的 处 理 器 ， 与 之 相 
对 的 是 集成 多 个 同类 型 的 处 理 器 。 


CRE 8.13 TI #&) OMAP (Open Multimedia Application Platform， 开 放 多 媒体 应 用 平台 ) 
体系 结构 广泛 应 用 于 移动 电话 ， 其 由 一 个 或 多 个 DSP 以 及 一 个 或 多 个 接近 于 通用 处 理 器 的 
处 理 器 构成 。DSP 用 以 处 理 射 频 、 语 音 和 媒体 (如 音频 、 图 像 和 视频 等 )， 其 他 处 理 器 则 执 
行 用 户 界 面 、 数 据 库 、 网 络 交互 以 及 可 下 载 应 用 的 处 理工 作 。 具 体 来 说 ，OMAP4440 处 理 
器 中 有 一 个 1GHz 的 双核 ARM Cortex 处 理 器 、 一 个 c64x DSP、 一 个 GPU 以 及 一 个 图 像 信 
号 处 理 器 。 


对 于 艇 入 式 应 用 而 言 ， 多 核 体 系 结构 相对 于 单 核 体系 结构 有 着 潜在 的 巨大 优势 ， 这 是 因 
为 实时 和 安全 做 关 任 务 可 能 有 其 专用 的 处 理 器 。 在 移动 电话 中 ， 无线电 和 语音 处 理 是 计算 负 
载 相当 大 的 硬 实时 功能 ， 这 也 是 在 移动 电话 中 采用 异 构 体 系 结构 的 一 个 主要 原因 。 在 该 体系 
结构 下 ， 用 户 应 用 不 能 干预 这 些 实时 功能 。 

在 通用 多 核 体系 结构 中 ， 缺 乏 对 这 些 实时 功能 的 干预 是 很 成 问题 的 。 例 如 ， 在 使 用 多 级 
缓存 (Cache) 的 体系 结构 中 ， 通 常会 在 多 核 之 间 共 享 二 级 或 更 高 级 的 缓存 。 不 幸 的 是 ， 这 
种 共享 使 得 隔离 独立 内 核 上 的 实时 程序 行为 变 得 非常 困难 ， 因 为 每 一 个 程序 都 有 可 能 触发 另 
一 个 内 核 中 的 缓存 未 命中 。 这 样 的 多 级 缓存 架构 并 不 适合 于 实时 应 用 。 

在 嵌入 式 应 用 中 ， 有 时 会 使 用 一 种 非常 不 同 的 多 核 体 系 结构 ， 该 架构 配合 现场 可 编程 门 
阵列 ( Field-Programmable Gate Array, FPGA) 上 的 定制 硬件 来 使 用 一 个 或 多 个 软 核 soft 
core， 或 软 内 核 )。FPGA 是 可 基于 硬件 设计 工具 对 其 硬件 功能 编程 的 芯片 。 软 核 的 优势 在 于 ， 
较 货架 处 理 器 9 而 言 其 可 以 更 为 简单 地 与 定制 硬件 紧密 结合 。 


8.3 小结 


藤 入 式 系 统 处 理 右 体系 结构 的 选择 对 于 程序 员 有 着 重要 的 影响 。 程 序 员 可 能 需要 使 用 汇 
编 语言 以 发 挥 不 同 架构 特性 的 优势 。 对 于 有 精确 时 间 约 束 的 应 用 ， 控 制程 序 的 时 序 可 能 是 困 
难 的 ， 其 原因 可 归咎 于 处 理 流 水 线 冲突 和 并 行 资 源 的 复杂 硬件 技术 。 
习题 
1. 考虑 图 8-4 中 的 预约 表 。 假 设 处 理 器 包括 了 转发 逻辑 ， 其 能 够 断定 指令 A 正在 写 由 指令 B 正在 读 的 

寄存 器 ， 以 及 指令 A 的 写 结果 可 以 在 写 完成 之 前 被 直接 转发 至 ALU， 同 时 假设 转发 逻辑 本 身 无 时 


O 即 现 有 的 商业 化 处 理 器 。 一 一 译 者 注 
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间 开 销 。 请 给 出 修正 的 预约 表 ， 并 请 说 明 流 水 线 气 泡 损 失 了 多 少 个 周期 。 
. 示例 8.6 中 有 如 下 指令 。 


| MAC *AR2+, *AR3+, A 


假定 处 理 器 有 三 个 ALU， 其 中 ， 一 个 用 于 寄存 器 AR2 与 AR3 所 包含 地 址 上 的 每 个 算术 运算 ， 
一 个 用 于 执行 MAC 乘 加 指令 中 的 加 法 操作 。 假 设 每 个 ALU 都 需要 一 个 时 钟 周 期 来 执行 ， 且 乘法 器 
也 都 需要 一 个 时 钟 周期 来 执行 。 进 而 假设 寄存 器 组 支持 每 个 周期 的 两 次 读 和 两 次 写 操 作 ， 以 及 累加 
器 寄存 器 A 可 以 被 分 开 写 人 且 无 写 人 时 间 开 销 。 请 给 出 表示 这 些 指 令 序 列 执行 的 预约 表 。 
. 对 于 具有 格式 1.15 (参见 “定点 数 ” 注 解 栏 ) 的 定点 数 ， 请 证 明 仅 当 -1 和 -1 这 两 个 数 相 乘 时 才 会 
引起 溢出 。 也 就 是 说 ， 如 果 两 数 中 有 一 个 是 1.15 格式 中 值 非 -1 的 任何 数 ， 那 么 提取 阴影 部 分 的 16 
位 不 会 导致 溢出 。 


第 9 音 | 
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许多 处 理 器 架构 师 认 为 存储 器 系统 对 整个 系统 性 能 的 影响 比 数据 流水 线 更 大 。 当 然 ， 这 
取决 于 具体 应 用 ， 但 对 很 多 应 用 来 说 确实 如 此 。 存 储 器 的 复杂 性 主要 来 源 于 三 个 方面 。 第 
一 ， 在 一 个 嵌入 式 系统 中 通常 需要 混合 使 用 不 同 的 存储 器 技术 。 很 多 存储 器 技术 是 易 失 的 
( volatile)， 意 味 着 掉 电 后 存储 器 中 的 内 容 会 丢失 。 大 多 数 通 入 式 系统 至 少 需 要 包括 一 部 分 非 
易 失 性 存储 器 以 及 一 部 分 易 失 性 存储 器 。 另 外 ,在 这 些 存储 器 类 型 中 又 可 以 有 很 多 选择 ， 而 
这 些 选择 对 系统 设计 人 员 有 着 显著 的 影响 。 第 二 ， 通 常 需要 层次 化 的 存储 结构 ， 这 是 因为 大 
容量 和 /或 低 功 耗 的 存储 器 速度 通常 更 慢 ， 为 了 以 适当 的 成 本 获取 合理 的 性 能 ， 必 须 将 快速 
存储 器 和 慢 速 存 储 器 混合 使 用 。 第 三 ， 需 要 划分 处 理 器 架构 的 地 址 空间 ， 以 访问 不 同类 型 的 
存储 器 、 为 通用 编程 模型 提供 支持 ， 以 及 为 实现 与 设备 (如 IO 设备 ) 而 不 是 与 存储 器 的 交 
互 分 配 地 址 等 。 在 本 章 ， 我 们 将 依次 讨论 这 三 个 问题 。 


9.1 存储 器 技术 


在 嵌入 式 系统 中 ， 存 储 器 是 一 个 很 重要 的 方面 。 存 储 器 技术 的 选择 对 系统 设计 人 员 来 说 
至 关 重 要 。 例 如 ， 程 序 员 可 能 需要 关心 系统 电源 关闭 或 进入 节能 待机 模式 时 当前 数据 是 否 继 
续 存 留 。 系 统 掉 电 时 内 容 丢 失 的 存储 器 被 称 为 易 失 性 存储 器 (volatile memory), ERI, 我 
们 讨论 一 些 常 用 的 技术 以 及 它们 之 间 需 要 达到 的 平衡 。 


9.1.1 RAM 


除了 寄存 器 文件 之 外 ， 微 型 计算 机 通常 拥有 一 定数 量 的 随机 访问 存储 器 ( Random 
Access Memory,RAM)， 这 是 一 个 可 以 相对 快速 地 一 次 写 人 和 读 取 单独 一 个 单元 〈 字 节 或 字 ) 
的 存储 器 。SRAM (静态 RAM) $ DRAM (动态 RAM) 更 快 ， 但 它 的 体积 也 更 大 (每 一 位 
占用 更 大 的 半导体 面积 ， 或 者 说 存储 密度 更 低 )。SRAM 可 以 在 供电 期 间 一 直 保存 数据 。 而 
DRAM 仅 能 在 短 时 间 内 保持 数据 有 效 ， 因 此 每 个 存储 位 置 必须 被 周期 性 地 刷新 。 这 两 种 类 
型 的 存储 右 在 掉 电 时 都 会 丢失 数据 ， 因 此 它们 都 是 易 失 的 (尽管 可 能 认为 DRAM 比 SRAM 
更 易 失 ， 由 于 其 在 供电 期 间 数据 也 会 丢失 )。 

嵌入 式 计算 机 系统 大 都 具有 SRAM 存储 器 。 但 因为 仅 采 用 SRAM 技术 不 能 提供 足够 的 
存储 空间 ， 所 以 很 多 系统 中 还 会 使 用 DRAM。 关 注 程 序 执行 时 间 的 程序 员 必 须 清楚 地 知道 
将 要 访问 的 存储 器 地 址 是 被 映射 到 了 SRAM 还 是 DRAM。 男 外 ，DRAM 的 刷新 周期 可 能 导 
致 访问 时 间 的 可 变性 ， 这 是 因为 当 发 出 访问 请 求 时 DRAM 可 能 正 忙于 如 刷新 等 其 他 操作 。 
另外 ， 访 问 历史 也 可 能 会 影响 访问 时 间 ， 访 问 一 个 存储 器 地 址 所 需 的 时 间 可 能 取决 于 最 后 一 
次 的 访 存 地 址 。 

DRAM 存储 芯片 的 制造 商 将 指定 每 一 个 存储 位 置 必须 被 刷新 ， 如 每 64ms 刷新 一 次 ， 而 
且 一 次 刷新 多 个 位 置 (一 “ 行 ” )。 只 有 存储 器 的 读 取 操作 会 刷新 所 读 取 的 位 置 (以 及 同一 行 
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上 的 所 有 位 置 )， 但 由 于 应 用 并 不 会 在 特定 的 时 间 间 隔 内 访问 所 有 行 ， 因 此 ，DRAM 通常 必 
须 与 一 个 DRAM 控制 器 配合 使 用 以 保证 能 够 刷新 所 有 位 置 且 保持 数据 。 如 果 在 访问 存储 器 
时 该 存储 器 正在 进行 DRAM 刷新 ， 那 么 存储 天 控制 器 将 会 停止 访问 ， 这 就 导致 了 程序 执行 
时 间 的 可 变性 。 


9.1.2 非 易 失 性 存储 器 


除 供电 时 需要 保留 数据 之 外 ， 贬 入 式 系 统 在 断 电 时 通常 也 需要 存储 一 部 分 数据 。 这 可 
以 有 多 种 具体 的 实现 方式 。 其 中 ， 一 种 方法 是 为 存储 器 提供 后 备 电池 以 保证 其 从 不 断 电 。 
然而 ,电池 终究 会 耗 尽 。 实 际 上 ， 这 里 还 有 更 好 的 选择 ， 即 非 易 失 性 存储 器 (non-volatile 
memory)。 非 易 失 性 存储 器 的 早期 形式 是 磁 芯 存储 器 (magnetic core memory， 或 者 仅 称 为 
核 )， 其 采用 被 磁化 的 铁 磁 环 来 存储 数据 。“ 核 ” (core) 一 词 在 计算 中 一 直 是 指 计算 机 存储 右 ， 
尽管 随 着 多 核 (multicore ) 机 器 的 普及 这 种 情况 发 生 了 变化 。 

现在 ， 最 基础 的 非 易 失 性 存储 器 是 ROM (Read-Only Memory， 只 读 存 储 器 ) 或 者 掩 膜 
ROM (mask ROM)， 其 内 容 在 出 厂 时 由 芯片 厂商 固化 。 这 对 大 批量 生产 仅 用 于 存储 程序 和 
永 不 改变 数据 的 产品 非常 有 用 。 这 里 的 程序 通常 被 称 为 固件 ( firmware)， 说 明 它 们 并 不 像 软 
件 那样 “ 软 ”。ROM 也 有 多 种 可 现场 编程 的 变 体 ， 相 关 技 术 已 经 非常 成 熟 并 在 当今 已 替代 
THER ROM。 其 中 一 种 是 EEPROM ( Electrically-Erasable Programmable ROM， 电 可 擦 除 
可 编程 ROM)， 虽 然 其 形式 多 样 但 都 是 可 写 的 。 该 存储 器 的 写 时 间 一 般 比 读 时 间 要 长 ， 而 且 
在 设备 的 生命 周期 中 写 次 数 是 有 限 的 。 新 型 EEPROM 的 常见 产品 形态 是 Flash 存储 器 ， 其 
常用 于 存储 固件 以 及 在 掉 电 时 继续 保持 用 户 的 数据 。 

Flash 存储 器 是 由 东芝 公司 Fujio Masuoka 博士 在 20 世纪 80 年 代 初 发 明 的 ， 这 是 一 种 
非常 便于 使 用 的 非 易 失 性 存储 器 ， 但 也 对 组 入 式 系统 设计 人 员 提 出 了 一 些 值得 关注 的 挑战 。 
通常 而 言 ，Flash 存储 器 具有 非常 快 的 读 时 间 ， 但 又 不 像 SRAM 与 DRAM 那样 快 ， 因 此 ， 
频繁 访问 的 数据 必须 在 被 程序 使 用 之 前 就 从 Flash 搬移 到 RAM 中 。 其 写 时 间 较 读 时 间 要 长 
得 多 ， 而 且 总 写 人 次 数 是 受 限 的 ， 因 此 这 些 存储 器 并 不 能 作为 系统 运行 时 内 存 的 替代 品 。 

Flash 存储 器 被 分 为 NOR 和 NAND 两 种 类 型 。NOR Flash 具有 更 长 的 擦 除 和 写 入 时 间 ， 
但 它 可 以 像 RAM 一 样 进行 随机 访问 。NAND Flash 成 本 更 低 昌 具有 更 快 的 擦 除 和 写 入 速度 ， 
但 每 次 都 要 读 取 一 个 数 百 到 数 千 位 的 数据 块 。 从 系统 的 角度 ， 这 意味 着 NAND Flash 的 行为 
与 硬盘 或 光 介 质 (如 CD、DVD) 等 二 级 存储 介质 类 似 。 两 种 类 型 的 Flash 都 只 能 被 有 限 次 
地 擦 除 和 写 入 ，NOR Flash 的 写 和 次数 通常 在 1 000 000 KAF, mi NAND Flash 的 写 入 次 
数 在 10 000 000 次 以 下 。 

访问 时 间 长 、 写 入 次 数 有 限 以 及 块 式 访问 (对 于 NAND Flash) 等 特性 ， 对 舱 人 式 系统 设 
计 人 员 来 说 都 使 问题 变 得 复杂 。 这 些 属性 不 仅 需 要 在 硬件 设计 时 考虑 ， 也 要 在 软件 中 考虑 。 

磁盘 存储 器 也 是 非 易 失 的 。 该 类 存储 器 的 数据 容量 非常 大 ， 但 访问 的 时 间 开 销 也 会 变 得 
非常 大 。 特 别 是 ， 旋 转 磁盘 的 机 构 以 及 读 写 磁头 都 要 求 控制 器 首先 要 等 待 磁头 定位 到 待 读 取 
的 区 域 ， 之 后 才能 读 取 该 区 域 的 数据 。 这 个 过 程 所 要 花费 的 时 间 变 化 非常 大 。 由 于 磁盘 较 上 
述 固 态 存储 器 更 易 受 到 振动 的 损坏 ， 因 此 它们 很 难 应 用 在 租 入 式 系统 中 。 


9.2 ”存储 器 分 级 体系 
很 多 应 用 需要 大 量 存储 空间 ， 常 常会 超过 微型 计算 机 中 片上 可 用 的 存储 器 容量 。 诸 多 
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微 处 理 器 中 采用 了 存储 器 分 级 体系 (memory hierarchy)， 其 采用 多 种 不 同 的 存储 器 技术 来 提 
高 整个 系统 的 存储 容量 ， 同 时 优化 成 本 、 延 迟 以 及 能 耗 。 通 常 ， 一 个 容量 相对 较 小 的 片上 
SRAM 常常 要 与 大 容量 的 片 外 DRAM 配合 使 用 。 这 还 可 进一步 与 三 级 存储 器 配合 ， 如 磁盘 
了 驱动器， 该 类 存储 需 的 容量 很 大 ， 但 缺乏 随机 访问 能 力 且 读 写 速度 很 慢 。 

应 用 程序 设计 人 员 可 能 不 会 意识 到 存储 器 分 布 于 这 些 技术 之 中 。 对 于 程序 员 来 说 ， 一 个 
称 为 虚拟 存储 器 (virtual memory) 的 常用 机 制 使 得 这 些 不 同 的 存储 融 看 起 来 是 在 一 个 连续 
的 地 址 空间 。 操 作 系统 和 /或 硬件 提供 地 址 转换 ， 其 将 地 址 空间 中 的 逻辑 地 址 翻译 为 某 个 存 
储 器 中 的 物理 位 置 。 这 个 翻译 工作 通常 由 一 个 称 为 旁 路 转换 缓冲 (也 称 为 快 表 ，Translation 
Lookaside Buffer, TLB) 的 专用 硬件 来 协助 ， 其 可 在 一 定 程度 上 提高 地 址 的 转换 速度 。 由 于 
这 些 技术 会 使 得 对 存储 器 访问 时 间 的 预测 和 理解 变 得 非常 困难 ， 对 于 内 入 式 系统 设计 人 员 而 
言 ， 这 些 技术 也 就 带 来 了 很 多 严重 的 问题 。 由 此 ， 嵌 入 式 系统 设计 人 员 通 常 需要 比 通用 软件 
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9.2.1 存储 器 映射 


处 理 器 的 存储 器 映射 (memory map) 定义 了 如 何 将 地 址 映射 到 硬件 ， 且 处 理 需 的 地 址 
宽度 限定 了 地 址 空间 的 总 大 小 。 例 如 ， 一 个 32 位 的 处 理 器 可 以 寻 址 2” 个 位 置 ,或 者 假设 每 
个 地 址 只 对 应 1 字 节 时 共 可 寻 址 4GB 的 地 址 空间 。 地 址 宽度 通常 与 字 宽 相 匹配 ， 当 然 除 了 
8 位 处 理 器 ， 因 为 该 类 处 理 器 中 的 地 址 宽度 通常 更 高 (一 般 为 16 位 )。 例 如 ，ARM Cortex - 
M3 体系 结构 具有 如 图 9-1 所 示 的 存储 器 映射 。 其 他 体系 结构 具有 不 同 的 空间 布局 ， 但 是 模 
式 大 致 是 相似 的 。 
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图 9-1 ARM Cortex - M3 体系 结构 的 存储 器 映射 


请 注意 ,该 体系 结构 将 程序 存储 器 (图 中 标记 为 A) 与 数据 存储 器 (图 中 标记 为 B Al D) 
分 离 。 这 种 (典型 的 ) 模式 允许 通过 一 组 独立 的 总 线 来 访问 这 些 不 同 的 存储 器 ， 从 而 允许 同 
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时 读 取 指令 和 数据 ， 这 会 有 效 地 使 存储 器 带宽 加 倍 。 这 种 将 程序 存储 器 与 数据 存储 器 分 离 的 
技术 称 为 哈佛 体系 结构 (Harvard architecture， 或 哈佛 结构 )。 与 之 相对 的 是 经 典 的 冯 … 诺 依 
曼 体 系 结构 (von Neumann architecture )， 其 将 程序 与 数据 存储 在 同一 个 存储 器 中 。 

该 体系 结构 的 任何 半导体 实现 都 会 受到 存储 器 映射 结构 的 约束 。 例 如 ，Luminary 
Micro OHJ LM3S8962 控制 器 有 一 个 ARM Cortex - M3 核 ， 拥 有 256KB 的 片上 Flash 存储 器 ， 
该 体系 结构 允许 访问 不 超过 0.5GB 的 存储 空间 ， 并 被 映射 到 0x00000000 到 0x0003FFFF 的 
地 址 空间 。 该 体系 把 从 0x00040000 到 0x1FFFFFFF 的 地 址 作为 存储 程序 的 剩余 地 址 ， 即 
“ 预 留 地 址 ”， 这 表示 它们 不 应 被 针对 此 设备 的 编译 器 所 使 用 。 

LM3S8962 具有 64KB 的 SRAM， 映 射 到 地 址 空间 0x20000000 ~ 0x2000FFF， 也 就 
是 区 域 B 中 的 一 小 部 分 。 蕊 片 同 时 包括 了 一 组 片上 外 设 (peripheral)， 人 允许 处 理 器 通过 
0x40000000 到 0x5FFFFFFF 区 间 (图 中 的 区 域 C) 的 地 址 来 访问 这 些 设备 。 这 些 外 设 包括 定 
时 器 、ADC、GPIO、UART 以 及 其 他 的 IO 设备 。 每 一 个 设备 通过 一 组 存储 器 映射 寄存 器 
( memory-mapped register) 来 占用 一 段 存 储 器 地 址 。 处 理 器 可 以 通过 写 其 中 的 一 些 寄 存 器 来 
配置 和 /或 控制 外 设 , 或 者 在 一 个 输出 端口 上 提供 输出 数据 。 一 些 寄存 器 可 以 被 用 于 读 取 外 
设 获得 的 数据 。 私 有 外 设 总 线 区 域 的 部 分 地 址 被 用 于 访问 中 断 控制 器 。 

LM3S8962 被 安装 在 提供 诸如 DRAM 数据 存储 器 及 外 部 设备 等 其 他 设备 的 印 制 电路 板 
(PCB) 上 。 之 后 ， 这些 设备 接口 将 被 映射 到 存储 器 地 址 空间 0xA0000000 一 0xDFFFFFFF 
(区 域 E)， 如 图 9-1 所 示 。 例 如 ，Luminary Micro 公司 的 Stellaris® LM3S8962 评估 板 并 不 
提供 附加 的 外 部 存储 器 ， 但 其 增加 了 一 些 外 部 设备 ， 如 LCD 显示 、 用 于 Flash 存储 扩展 的 
MicroSD 插 槽 以 及 一 个 USB 接口 等 。 

这 一 方式 的 结果 是 使 得 大 量 存储 器 地 址 未 被 使 用 。 在 ARM 中 采用 了 称 为 位 带 (bit 
banding) 的 巧妙 方法 来 利用 这 些 未 被 使 用 的 地 址 ， 使 得 一 些 未 使 用 的 地 址 可 被 用 于 访问 存储 
器 或 外 设 中 单独 的 位 ， 而 不 是 整个 字 节 或 字 。 这 会 使 得 某 些 操 作 更 为 高 效 ， 因 为 不 需要 屏蔽 
特定 位 的 其 他 附加 指令 。 


哈佛 结构 
“哈佛 结构 ”一 词 源 自 于 为 程序 和 数据 采用 不 同 存储 器 的 Mark I 计 算 机 。Mark I 
由 IBM 采 用 机 电 继电器 制造 的 计算 机 ， 并 于 1944 年 运 抵 哈佛 。 该 机 器 由 Howard H. 
Aiken 设计 ， 用 来 数字 化 地 求解 微分 方程 。 其 把 指令 存储 在 打 孔 纸 带 上 ， 将 数据 存放 于 


机 电 计数 器 中 ,被 IBM 称 为 全 自动 化 循序 控制 计算 机 ( Automatic Sequence Controlled 
Calculator，ASCC)。 美 国 海军 少将 Grace Murray Hopper 以 及 IBM 帮助 促成 了 该 计算 机 
的 实现 。 





9.2.2 ”寄存 器 文件 


在 各 处 理 器 中 集成 最 为 紧密 的 存储 器 是 寄存 器 文件 (register file)。 该 文件 中 的 每 个 寄存 
器 存储 一 个 字 ( word)。 如 前 所 述 ， 字 长 是 处 理 器 体系 结构 中 的 一 个 关键 属性 。 在 8 位 体系 
结构 中 ， 字 是 1 字 节 , 在 32 位 体系 结构 中 是 4 字 节 ， 而 在 64 位 体系 结构 中 则 是 8 字 节 。 寄 
存 器 文件 可 直接 由 处 理 器 电路 中 的 触发 器 来 实现 ， 或 者 ， 这 些 寄 存 器 也 可 以 被 置 于 一 个 存储 
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体 中 ,通常 是 采用 之 前 讨论 的 SRAM 技术 。 

处 理 器 中 的 寄存 器 数量 通常 很 少 ， 究 其 原因 ， 并 不 是 因为 寄存 器 文件 的 硬件 成 本 ， 而 是 
指令 字 中 位 的 成 本 。 指 令 集体 系 结构 中 通常 提供 可 以 访问 一 个 、 两 个 或 三 个 寄存 器 的 指令 。 
为 了 将 程序 有 效 地 存储 在 存储 器 中 ， 这 些 指令 就 不 能 使 用 过 多 的 编码 位 数 ， 因 此 ， 它 们 也 
就 不 能 用 更 多 的 位 数 来 标记 寄存 器 。 如 果 寄 存 器 文件 中 有 16 个 寄存 器 ， 那 么 指向 一 个 寄存 
器 就 需要 4 位 。 如 果 一 条 指令 可 以 使 用 3 个 寄存 器 ， 它 就 需要 12 位 。 如 果 一 个 指令 字 是 16 
位 ， 则 只 会 留 下 4 位 来 表示 指令 中 的 其 他 信息 ， 如 必须 编码 在 指令 中 的 指令 自身 标识 等 。 例 
如 ， 这 些 信息 标识 出 指令 对 两 个 寄存 器 进行 相 加 还 是 相 减 操作 、 结 果 是 否 存放 在 第 三 个 寄存 
器 等 。 
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很 多 对 入 式 系 统 都 会 混合 使 用 这 些 存储 器 技术 。 其 中 ， 一 些 存储 器 的 访问 通常 是 在 其 他 
存储 器 之 前 ， 也 即 前 者 较 后 者 “更 接近 ”处 理 器 。 例 如 ， 近 端的 存储 器 (SRAM ) 通常 被 用 
于 存储 程序 操作 的 临时 运行 数据 。 如 果 近 端的 存储 器 具有 一 组 独 有 的 地 址 ， 且 程序 负责 向 其 
移 人 数据 或 者 将 数据 移出 到 远 端 存储 器 ， 那 么 该 存储 器 就 被 称 为 暂 存 器 ( scratchpad)。 如 果 
近 端 的 存储 器 使 用 自动 的 硬件 拷贝 操作 将 数据 复制 到 远 端 存储 器 ， 那 么 该 存储 器 就 被 称 为 高 
速 缓存 (Cache， 或 缓存 )。 

对 于 具有 严格 实时 约束 的 租 入 式 应 用 ，Cache 会 存在 一 些 较 大 的 麻烦 ， 因 为 它们 的 时 间 
行为 可 能 会 以 难以 预测 的 方式 发 生 显著 变化 。 另 一 方面 ， 手动 管理 暂 存 器 中 的 数据 对 于 程序 
员 而 言 可 能 是 非常 乏味 无 聊 的 ， 而 自动 化 编译 器 驱动 的 方法 现在 仍 处 于 初级 阶段 。 

如 9.2.1 节 所 述 ， 若 采用 为 程序 员 呈 现 连 续 地 址 空间 的 虚拟 存储 器 系统 ， 体 系 结构 
通常 就 可 以 支持 较 处 理 器 的 物理 存储 器 更 大 的 地 址 空间 。 如 果 处 理 器 具有 内 存 管理 单 
元 (Memory Management Unit, MMU)， 程 序 就 可 以 使 用 逻辑 地 址 ， 并 且 MMU 会 将 这 
些 逻 辑 地 址 翻译 为 物理 地 址 。 例 如 ， 使 用 图 9-1 所 示 的 存储 器 映射 ， 进 程 可 能 被 允许 使 用 
0x60000000 一 0x9FFFFFFF 地 址 范围 的 逻辑 地 址 空间 (图 中 的 区 域 D)， 其 共有 1GB 的 可 访 
问 数据 存储 单元 。MMU 可 以 使 用 区 域 B 中 的 部 分 物理 存储 单元 来 实现 一 个 Cache。 当 程序 
提供 了 一 个 存储 地 址 时 ，MMU 就 可 以 判定 该 地 址 是 否 在 区 域 B 中 。 如 果 是 ， 翻 译 该 地 址 并 
完成 取 操 作 ; 如 果 不 是 ， 就 会 得 到 缓存 未 命中 ( cache miss) 的 结果 ， 此 时 MMU 会 从 二 级 
存储 器 的 相应 位 置 (区域 D 中 ) 将 数据 读 入 Cache (区 域 B)。 如 果 该 地 址 也 不 在 区 域 D 中 ， 
MMU 就 会 触发 一 个 页 面 失效 (page fault)， 这 将 导致 软件 把 磁盘 数据 读 入 内 存 的 操作 。 由 
此 ， 程 序 就 被 赋予 了 可 以 访问 大 的 内 存 空 间 的 “错觉 ”， 其 带 来 的 成 本 是 内 存 访问 时 间 变 得 
相当 难以 预测 。 存 储 器 访问 时 间 变 化 1000 倍 或 更 多 的 情况 并 不 少见 ， 这 要 取决 于 这 些 逻 辑 
地 址 在 物理 存储 器 上 如 何 分 配 。 

考虑 到 执行 时 间 对 存储 器 体系 结构 的 敏感 性 ， 理 解 Cache 的 组 织 和 操作 就 变 得 非常 重要 
了 ， 这 也 是 本 节 的 一 个 重点 。 

1. 基本 缓存 组 织 结构 

假设 存储 系统 中 的 每 个 地 址 有 m 位， 那么 就 最 多 有 M=2” 个 唯一 地 址 。Cache 存储 器 
被 组 织 为 一 个 5=2’ 缓存 组 (Cache set) 的 阵列 。 每 一 个 缓存 组 顺序 包括 个 缓存 行 (Cache 
line)。 每 个 缓存 行 存储 了 一 个 B=2? 字 节 数据 的 单独 块 (Block)， 以 及 有 效 (Valid) 位 和 标记 
(Tag) 位 。 有 效 位 指示 该 缓存 行 是 否 存放 了 有 效 数 据 ， 而 标记 位 (包括 了 tm-s-b 位 ) 唯一 
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地 标识 缓存 行 中 存放 的 块 。 图 9-2 刻画 了 基本 的 Cache 组 织 结构 以 及 地 址 格式 。 
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图 9-2 Cache 的 组 织 结构 与 地 址 格式 。Cache 可 被 看 作 缓 存 组 的 阵列 ， 每 个 缓存 组 则 包括 了 一 
个 或 多 个 缓存 行 。 每 个 缓存 行 包 括 了 一 个 有 效 位 、 一 组 标记 位 和 一 个 缓存 块 
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由 此 ，Cache 可 以 被 表示 为 一 个 元 组 (m, S, E, B)， 相 关 参 数 的 定义 如 表 9-1 所 示 。 
表 9-1 Cache 参数 


Cache 的 大 小 为 C=Sx Ex BFA. 
假设 程序 要 读 取 存放 在 地 址 a 中 的 值 ， 且 假设 本 证 





后 续 内 容 中 该 值 是 一 个 单数 据 字 w，CPU 首先 会 将 地 址 pr 

a 发送 到 Cache 以 判断 该 地 址 是 否 在 Cache 中 。 地 址 a 可 缓存 组 的 数量 

以 被 看 作 分 为 三 个 段 的 位 : 高 上 位 编码 为 标记 (Tag), 之 每 组 的 行 数 

后 的 s 位 为 组 索引 (Set index)， 最 后 的 b 位 编码 ( Block 块 的 大 小 ( 字 节 ) 

offset) 表示 在 一 个 块 中 的 位 置 。 如 果 w 出 现在 Cache 中 ， 标记 位 的 位 数 

存储 器 访问 为 缓存 命中 ， 否 则 为 缓存 未 命中 。 缓存 总 容量 〈 字 节 ) 
基于 EE 的 值 可 以 将 Cache 分 为 不 同类 型 。 下 面 我 们 来 看 Cache 存储 器 的 分 类 ， 并 对 其 

操作 方式 进行 简要 阐述 。 


2. 直接 映射 高 速 缓存 

每 一 组 只 有 一 行 〈(E=1) 的 Cache 被 称 为 直接 映射 高 速 缓存 ( direct-mapped cache), 24 
定 一 个 从 存储 器 中 请 求 的 字 w，w 的 存放 地 址 为 a， 那 么 通过 以 下 三 步 就 能 确定 w 是 缓存 命 
中 还 是 未 命中 。 

1) 组 选择 : 从 地 址 a 提取 编码 该 组 的 s 位， 并 以 其 为 索引 来 选择 相应 的 缓存 组 。 

2) 行 匹配 : 检查 该 组 中 唯一 的 缓存 行 上 是 否 有 w 的 拷贝 ， 这 可 以 通过 检查 缓存 行 的 有 
效 位 和 标记 位 来 实现 。 如 果 有 效 位 被 设置 且 行 的 标记 位 与 a 中 的 信息 匹配 ， 那 么 这 个 字 就 在 
该 行 中 且 缓 存 命 中 ， 否 则 缓存 未 命中 。 

3) 字 选 择 : 一 旦 确认 该 字 就 在 缓存 块 中 ,使 用 a 地址 中 块 内 编码 的 5 位 位 置信 息 来 读 
取 这 个 数据 字 。 
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在 缓存 未 命中 时 ， 必 须 从 存储 体系 中 的 下 一 级 存储 器 来 请 求 字 w。 一旦 该 块 已 经 被 取 
出 ， 其 将 替代 缓存 行 中 正在 占用 ww 位 置 的 块 。 

虽然 对 直接 映射 高 速 缓存 的 理解 及 其 实现 都 是 非常 简单 的 ， 但 它 可 能 会 出 现 冲突 失效 
(conflict miss) 的 问题 。 当 映射 到 同一 缓存 行 的 两 个 或 两 个 以 上 块 中 的 多 个 字 被 反复 访问 时 ， 
一 个 块 的 访问 将 会 排斥 另 一 个 块 的 访问 ， 并 导致 一 连 串 的 缓存 未 命中 ， 此 时 就 出 现 了 冲突 失 
效 。 组 相 联 高 速 缓存 结构 可 以 帮助 解决 这 个 问题 。 

3. 组 相 联 高 速 缓存 

组 相 联 高 速 缓存 ( set-associative cache) 可 以 在 每 一 个 组 中 存放 更 多 的 缓存 行 。 如 果 
Cache 中 的 缓存 组 可 以 存放 EE 行 ，1<E<C/B， 那 么 该 Cache 就 被 称 为 已 路 组 相 联 高 速 缓存 。 
“KAHN” (associative) 一 词 来 源 于 联合 存储 器 (associative memory)， 这 是 一 种 通过 其 内 
容 寻 址 的 存储 器 。 也 就 是 说 ， 存 储 器 中 的 每 个 字 与 其 唯一 的 关键 字 共 同 存储 ， 且 通过 其 关 
键 字 而 不 是 指定 其 存放 位 置 的 物理 地 址 来 读 取 。 联 合 存储 器 也 被 称 为 按 内 容 访 问 的 存储 器 
(content-addressable memory ) o 

对 于 组 相 联 高 速 缓存 ， 访 问 a 地址 的 一 个 字 mw 包含 了 如 下 步骤 。 

1) 组 选择 : 该 步骤 等 同 于 直接 映射 高 速 缓存 的 步骤 1。 

2) 行 匹配 : 该 步骤 比 直接 映射 高 速 缓存 中 的 步骤 复杂 得 多 ， 因 为 w 可 能 存在 于 多 个 行 
中 ， 即 a 中 的 标记 位 可 以 与 缓存 组 中 任 一 行 的 标记 位 相 匹配 。 操 作 上 ， 组 相 联 高 速 缓存 中 的 
每 一 个 组 可 以 被 看 作 一 个 联合 存储 器 ， 其 中 关键 字 是 标记 位 和 有 效 位 的 连接 ， 数 据 值 则 是 相 
应 块 的 内 容 。 | 

3) Fiti: 一 旦 匹配 到 缓存 行 ， 字 的 选择 就 与 上 述 直接 映射 高 速 缓存 中 的 操作 相同 。 

在 未 命中 的 情况 下 ， 将 会 比 直 接 映 射 高 速 缓存 的 缓存 行 替换 操作 更 复杂 。 对 于 直接 映射 
高 速 缓 存 ， 由 于 新 块 将 替换 缓存 行 中 的 当前 块 ， 因 此 并 不 存在 可 进行 蔡 代 的 其 他 选择 。 然 
而 ， 在 组 相 联 高 速 缓存 中 ， 我们 可 以 选择 想 要 从 中 删除 一 个 块 的 一 个 缓存 行 。 

常用 的 一 个 策略 是 最 近 最 少 使 用 ( Least-Recently Used，LRU)， 即 最 近 访 问 发 生 在 最 远 
时 间 的 缓存 行 被 清除 。 男 一 个 常用 策略 是 先进 先 出 ( First-In-First-Out，FIFO)， 即 在 Cache 
中 时 间 最 久 的 缓存 行 会 被 清除 ， 而 不 用 考虑 其 最 后 被 访问 的 时 间 。 好 的 Cache 替换 策略 对 于 
提高 Cache 的 性 能 非常 重要 。 注 意 ， 实 现 这 些 Cache 内 容 替 换 策 略 需要 使 用 额外 的 存储 器 来 
记录 访问 顺序 ， 不 同 策略 以 及 策略 的 不 同 实现 所 需要 的 额外 存储 容量 会 有 所 不 同 。 

全 相 联 高 速 缓存 fully-associative cache) 是 一 个 E=C/B 的 缓存 ， 即 其 只 有 一 个 组 。 对 
于 这 样 的 Cache， 鉴 于 联合 存储 器 的 价格 非常 昂贵 ， 行 匹配 方式 对 于 大 容量 Cache 而 言 具有 
相当 高 的 成 本 ， 因 此 全 相 联 高 速 缓存 通常 仅 被 用 作 小 的 Cache 组 件 ， 如 之 前 提 到 的 旁 路 转换 
绥 冲 (TLB). 


9.3 ”存储 器 模型 


存储 器 模型 (memory model) 定义 了 程序 如 何 使 用 存储 器 。 实 际 上 ， 硬 件 、 操 作 系 统 
(如 果 有 )、 编 程 语 言及 其 编译 器 都 会 对 存储 器 模型 产生 影响 。 本 节 将 讨论 存储 器 模型 中 的 一 
些 常见 问题 。 

9.3.1 存储 器 地 址 
最 基本 地 ， 存 储 器 模型 定义 了 程序 可 访问 的 存储 器 地 址 范围 。 在 C 语言 中 ， 这 些 地 
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址 被 存放 在 指针 中 。 对 于 32 位 的 体系 结构 ， 存储器 地 址 为 32 位 的 无 符号 整数 ， 从 而 可 以 
表示 从 0 到 22-1 的 地 址 室 间 ， 共 约 40 亿 个 地 址 ， 其 中 每 个 地 址 指向 内 存 中 的 1 字 节 (8 
位 )。C 语言 中 的 char 数据 类 型 长 度 是 1 字 节 ， 而 int 数据 类 型 则 是 至 少 2 字 节 的 序列 。 在 
32 位 体系 结构 中 ，int 类 型 通常 为 4 字 节 ， 可 以 表示 -2” 到 2”-1 范围 内 的 整数 。C 语言 的 
double 数据 类 型 是 依据 IEEE 浮 点 数 标准 (IEEE 754 ) 编码 的 8 字 节 序列 。 

由 于 一 个 存储 器 地 址 指向 1 字 节 ， 当 编写 一 个 直接 操作 存储 器 地 址 的 程序 时 ， 就 有 两 个 
需要 注意 的 关键 兼容 性 问题 。 第 一 个 是 数据 的 对 齐 ( alignment)。 一 个 整 型 数 通常 会 从 4 的 
倍数 的 某 个 地 址 开始 占用 4 个 连续 的 字 节 。 在 十 六 进 制 表 示 中 ， 这 些 地 址 通常 以 0、4、8 或 
者 c HB. 

第 二 个 是 字 节 顺序 。 第 一 个 字 节 (在 以 0、4、8 或 者 < 结尾 的 地 址 上 ) 可 能 表示 整数 的 
低 8 位 ( 称 为 小 端 模式 )， 或 者 是 表示 整数 的 高 8 位 ( 称 为 大 端 模式 ) DERE, BRRL 
数据 表示 问题 已 经 形成 了 普遍 的 标准 (如 字 节 中 的 位 顺序 )， 但 字 节 顺序 却 不 在 此 列 。Intel 
的 x86 体系 结构 与 ARM 处 理 器 等 默认 采用 了 小 端 模 式 ， 而 IBM 的 PowerPC 则 采用 了 大 端 
模式 。 有 些 处 理 器 对 两 种 模式 都 支持 。 男 外 ， 字 节 顺 序 在 网 络 协议 中 也 很 关键 ， 其 通常 会 采 
用 大 端 模 式 。 

大 端 、 小 端 这 两 个 词 来 源 于 爱尔兰 作家 Jonathan Swift 的 小 说 《 格 列 佛 游记 》 小 说 中 小 
人 国 的 王室 法 令 要 求 从 小 的 一 端 确 开 注 心 蛋 ， 然 而 在 其 对 手 王国 Blefuscu， 则 规定 居民 们 要 
SN Kevin titi FF WEOE o 
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栈 (stack) 是 动态 分 配给 程序 的 以 后 进 先 出 (Last-In-First-Out，LIFO) 方式 访问 的 一 块 
存储 区 域 。 栈 指针 (通常 是 一 个 寄存 器 ) 持 有 栈 顶 存储 单元 的 地 址 。 当 把 一 个 元 素 压 人 栈 时 ， 
栈 指针 增加 ， 同 时 该 元 素 被 存储 在 栈 指针 所 指 的 新 位 置 。 当 从 栈 中 弹出 一 个 元 素 时 ， 栈 指针 
所 指 的 存储 地 址 (通常 ) 被 拷贝 到 其 他 地 方 《 如 寄存 器 中 )， 同 时 栈 指针 减 小 。 

栈 通 常用 来 实现 函数 的 调用 。 例 如 ， 对 于 C 程 序 中 的 函数 调用 ， 编 译 咒 会 生成 代码 以 
将 函数 返回 时 要 执行 的 指令 地 址 、 某 些 或 全 部 寄存 器 的 当前 值 以 及 函数 的 参数 等 压 人 栈 中 ， 
之 后 ,设置 程序 计数 器 为 该 函数 代码 的 起 始 地 址 。 压 入 栈 中 的 函数 相关 的 数据 被 称 为 该 函数 
的 栈 帧 (stack frame)。 当 一 个 函数 返回 时 ,编译 器 会 弹出 其 栈 帧 ， 并 最 终 获 取 程 序 恢复 执行 
的 地 址 。 

对 于 咀 入 式 软 件 ， 栈 指针 超出 分 配 的 栈 空间 将 会 是 灾难 性 的 。 这 样 的 栈 溢出 (stack 
overflow) 可 能 引起 存储 位 置 的 重 写 (可 用 于 其 他 用 途 )， 从 而 导致 不 可 预测 的 结果 。 因 此 ， 
限定 栈 的 使 用 就 是 系统 设计 的 一 个 重要 目标 。 当 然 ， 这 对 于 调用 自身 的 递归 程序 ( recursive 
program) 来 说 会 特别 困难 。 艇 入 式 软件 设计 人 员 通 常会 避免 使 用 递归 以 免 引 起 不 可 预见 的 
问题 。 

由 于 对 栈 的 误 用 或 错误 理解 ， 可 能 会 产生 很 多 环 手 的 错误 。 这 里 ， 我 们 以 如 下 C 程序 
为 例 进 行 说 明 。 

1 int» foo(int a) { 

2 int b; 
3 b =a * 10; 
4 return &b; 
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int main(void) { 
int* ci 
c = foo(10); 


10 } 

变量 b 是 一 个 局 部 变量 ， 其 存储 空间 位 于 栈 中 。 当 foo 函数 返回 时 ， 变 量 e 会 包含 一 个 
指向 栈 指针 之 上 的 内 存 地 址 的 指针 。 当 这 些 项 下 一 次 被 压 人 栈 时 ， 该 地 址 的 内 容 将 被 重 写 。 
所 以 ,让 函数 foo 返回 b 的 指针 是 不 正确 的 。 当 该 指针 被 释放 时 ( 即 如 果 在 main 中 第 8 行 
之 后 使 用 *c)， 该 内 存 位 置 可 能 会 包含 与 foo 函数 中 指定 的 值 不 一 致 的 内 容 。 不 幸 的 是 ，C 
语言 并 没有 提供 应 对 这 种 错误 的 保护 机 制 。 


9.3.3 ”存储 器 保护 单元 


对 于 支持 多 任务 的 系统 而 言 ， 一 个 尤为 关键 的 事情 是 防止 一 个 任务 干扰 另 一 个 任务 的 执 
行 。 这 对 于 允许 下 载 第 三 方 软件 的 嵌入 式 应 用 而 言 是 非常 重要 的 ， 当 然 其 也 可 以 为 防范 安全 
依 关 应 用 中 的 软件 缺陷 提供 保护 。 

很 多 处 理 器 的 硬件 中 提供 了 存储 器 保护 机 制 。 任 务 都 被 分 配 了 属于 自己 的 地 址 空间 ， 且 
当 一 个 任务 尝试 访问 其 地 址 空间 之 外 的 存储 器 时 ， 就 会 出 现 段 错误 (segmentation fault) 或 
者 其 他 异常 结果 。 其 结果 通常 是 ， 违反 访问 规定 的 应 用 程序 将 结束 运行 。 


9.3.4 动态 内 存 分 配 


通用 软件 应 用 一 般 会 具有 不 确定 的 存储 器 需求 ， 其 主要 依赖 于 参数 和 /或 用 户 的 输入 。 
为 了 支持 这 些 应 用 ， 计 算 机 科学 家 已 经 开发 了 动态 内 存 分 配 机 制 ， 即 程序 可 以 在 任何 时 刻 请 
求 操作 系统 来 分 配额 外 的 存储 空间 。 从 数据 结构 中 分 配 的 内 存 称 为 堆 (heap)， 这 使 得 跟踪 内 
存 中 哪个 块 正在 被 哪个 应 用 使 用 更 加 容易 了 。 通 过 操作 系统 调用 (如 C 语言 中 的 malloc) 可 
以 实现 内 存 的 分 配 ， 且 当 程 序 不 再 需要 访问 之 前 所 分 配 的 内 存 时 ， 就 可 以 释放 这 一 内 存 区 域 
(CC 语言 中 通过 调用 free). 

对 内 存 分 配 的 支持 通常 (但 不 总 是 ) 还 包括 垃圾 回收 。 例 如 ， 垃 圾 回收 机 制 在 Java 编 
程 语言 中 是 内 置 的 。 垃 圾 回收 器 (garbage collector) 是 一 个 周期 性 或 在 内 存 紧张 时 运行 的 任 
务 ， 该 任务 分 析 程 序 分 配 的 数据 结构 ， 并 自动 释放 那些 不 再 被 程序 使 用 的 内 存 空间 。 原 则 
上 ， 当 使 用 一 个 垃圾 回收 器 时 ， 程 序 员 就 无 需 再 担心 内 存 释放 的 问题 。 

无 论 有 没有 垃圾 收集 机 制 ， 程 序 都 可 能 会 无 意 中 增 加 从 不 释放 的 内 存 ， 这 被 称 为 内 存 泄 
漏 。 对 于 经 常 必 须 长 时 间 执 行 的 租 入 式 应 用 ， 内 存 泄 漏 是 灾难 性 的 。 当 物理 内 存 耗 尽 时 ， 程 
序 最 终 会 失效 。 

动态 内 存 分 配 机 制 引 起 的 另 一 个 问题 是 内 存 碎 片 ， 这 主要 出 现在 程序 以 不 同 内 存 大 小 分 
配 和 回收 内 存 的 过 程 中 。 一 个 碎片 化 的 内 存 拥有 散布 的 已 分 配 内 存 块 和 空闲 内 存 块 ， 而 且 空 
闲 内 存 块 通常 都 因 变 得 太 小 而 不 能 使 用 。 在 这 种 情况 下 ， 就 需要 对 碎片 进行 整理 。 

碎片 整理 和 垃圾 回收 对 于 实时 系统 来 说 是 很 大 的 问题 ， 这 些 任 务 的 一 种 简单 实现 是 在 其 
运行 时 停止 其 他 任务 的 执行 。 基 于 这 种 “时 间 停 止 ”(stop the world) 技术 的 实现 会 出 现 大 量 
的 暂停 时 间 ， 有 时 会 达到 数 毫 秒 。 由 于 在 这 种 任务 的 执行 期 间 ， 数 据 结 构 (指针 ) 中 的 数据 
引用 不 一 致 ， 所 以 其 他 任务 不 能 执行 。 一 种 可 以 减少 这 一 暂停 时 间 的 技术 是 增 量 式 垃圾 回 
收 ， 其 隔离 内 存 分 区 和 垃圾 ， 并 实现 隔离 回收 。 在 撰写 本 书 时 ， 这 种 技术 仍 是 实验 性 的 且 尚 
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未 得 到 广泛 部 署 。 
9.3.5 C 程序 的 存储 模型 

C 程序 的 数据 存放 在 栈 、 堆 以 及 由 编译 器 生成 的 固定 内 存 位置 中 ， 以 如 下 C 程序 为 例 进 
行 讨 论 。 

1 int a = 2; 


void foo(int b, ints c) { 


} 


3 

4 

5 int main(void) { 

6 int d; 

7 ints e 

8 ere // 给 da 赋 值 

9 e = malloc(sizeInBytes); // 为 e 分 配 内 存 
10 CS] none // 给 e 赋 值 


11 foo(d, e); 


13 } 

该 程序 中 ， 变 量 a 被 声明 在 所 有 函数 之 外 ,因此 是 一 个 全 局 变量 。 编 译 器 将 为 该 变量 分 
配 一 个 固定 的 内 存 位 置 。 变 量 b 和 都 是 参数 ， 当 函数 foo 被 调用 时 将 在 其 栈 上 为 这 些 变量 
分 配 空间 (编译 器 也 可 以 将 这 些 变量 放置 在 寄存 器 中 而 不 是 栈 中 )。 变 量 d 和 e 是 自动 变量 
或 局 部 变量 ,这 类 变量 声明 在 函数 体 中 (本 例 中 即 main 函数 )， 编 译 器 将 在 栈 中 为 它们 分 配 
空间 。 

当 函 数 foo 在 第 11 行 被 调用 时 ，b 所 在 的 栈 位 置 将 获得 第 8 行 赋予 d 的 值 的 一 个 拷贝 。 
这 是 一 个 值 传递 (或 传 值 ) 的 例子 ， 即 参数 的 值 被 拷贝 到 栈 上 供 被 调用 的 函数 使 用 。 男 外 ， 
由 指针 e 引用 的 数据 存放 在 从 堆 中 分 配 的 内 存 中 ， 这 就 是 引用 传递 (或 传 引用 ， 指 向 该 数据 
的 指针 e 的 值 被 传递 )。 该 地 址 存放 在 栈 中 c 的 位 置 。 如 果 foo 中 对 *c 进行 了 赋值 ,那么 在 
foo 返回 后 ， 其 就 可 以 通过 解 引用 e 来 读 取 该 值 。 

第 1 行为 全 局 变量 a 赋 初 值 。 然 而 ， 这 里 存在 着 一 个 麻烦 的 陷阱 。 当 程序 被 加 载 时 ， 存 
储 变量 a 的 内 存 位 置 将 被 初始 化 为 2。 这 意味 着 如 果 程序 是 第 二 次 运行 而 不 是 重新 加 载 ， 那 
么 a 的 初 值 将 不 一 定 为 2 ! 它 的 值 将 是 第 一 次 调用 程序 结束 时 的 值 。 在 大 多 数 桌面 操作 系统 
中 ,程序 会 在 每 次 运行 时 重新 加 载 ， 因 此 该 问题 不 会 出 现 。 但 在 很 多 骨 入 式 系统 中 ,并 非 每 
次 运行 时 都 需要 重新 加 载 程序 。 例 如 ， 系 统 复 位 时 程序 可 以 是 重新 开始 运行 。 为 了 防止 这 类 
问题 的 出 现 ， 在 main 也 数 体 中 而 不 是 在 如 上 的 声明 行 初始 化 全 局 变量 将 是 更 为 安全 的 方式 。 


9.4 小 结 


租 入 式 系 统 设计 人 员 需 要 理解 目标 计算 机 的 存储 器 体系 结构 ， 以 及 编程 语言 的 存储 模 
型 。 存 储 器 的 不 正确 使 用 可 能 会 导致 潜在 的 错误 ， 而 且 有 些 错误 在 测试 中 根本 不 会 显现 出 
来 。 那 些 仅 会 在 已 部 署 的 产品 中 出 现 的 错误 对 系统 用 户 和 技术 提供 者 来 说 都 将 是 灾难 性 的 。 

设计 人 员 需 要 清楚 地 了 解 地 址 空间 中 哪些 部 分 是 用 于 易 失 性 存储 器 的 ， 哪 些 部 分 是 用 于 
非 易 失 性 存储 器 的 。 对 于 时 间 敏 感 的 应 用 (主要 是 戏 入 式 系统 )， 设 计 人 员 同 样 需要 了 解 存 
储 器 技术 以 及 Cache 的 体系 结构 (如果 有 的 话 )， 以 更 好 地 理解 程序 的 执行 时 间 。 另 外 ， 程 
序 员 需 要 清楚 编程 语言 的 存储 器 模型 ， 以 免 读 取 可 能 无 效 的 数据 。 程 序 员 还 需要 非常 小 心地 
使 用 动态 内 存 分 配 (特别 是 对 于 那些 需要 运行 很 长 时 间 的 艇 入 式 系统 )， 可 用 内 存 耗 尽 可 能 
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习题 
1. 以 下 函数 compute_variance 用 于 计算 数组 data 中 整数 的 方差 。 


N 


Ww 


int data([N]; 


1 
2 

3 int compute_variance() { 

4 int suml = 0, sum2 = 0, result; 
5 int i; 

6 

7 for(i=0; i < Ns i++) { 

8 suml += data[i];}; 

9 } 

10 suml /= N; 

u 

12 for (i=0; i < N; i++) { 

13 sum2 += data[i] * data[i]; 

14 } 

15 sum2 /= N; 

16 

17 result = (sum2 - suml»suml); 

18 

19 return result; 

20 } 


假设 该 程序 在 一 个 具有 直接 映射 高 速 缓存 的 32 位 处 理 器 上 执行 ， 直 接 映射 高 速 缓存 的 参数 为 

(m; S, E, B)=(32, 8, 1, 8 )。 进 而 给 出 如 下 假设 : 

e int 是 4 字 节 宽度 ; 

è suml, sum2, result 以 及 都 存放 在 寄存 器 中 ; 

e data 存储 在 内 存 中 起 始 地 址 为 0x0 的 位 置 。 

请 回答 如 下 问题 : 

(a) WRN 是 16， 将 会 产生 多 少 次 缓存 未 命中 ? 

(b) WRN 是 32， 请 重新 计算 缓存 未 命中 的 次 数 。 

(c) 考虑 在 参数 为 (m, S, E, B) =(32, 8, 2, 4) 的 2 路 组 相 联 高 速 缓存 上 N=16 的 一 次 执行 。 换 句 
话说 ， 块 的 大 小 减 半 ， 但 在 每 个 组 上 有 两 个 缓存 行 ， 那 么 这 段 代码 会 发 生 多 少 次 缓存 未 命中 ? 


. 回顾 9.2.3 节 中 Cache 将 地 址 的 中 间 位 作为 组 索引 ， 并 将 高 端的 位 作为 标记 。 为 什么 要 这 样 设计 ? 


如 果 将 中 间 的 位 用 作 标 记 位 ， 而 将 高 端的 位 用 作 组 索引 ， 将 会 对 Cache 性 能 产生 多 大 影响 ? 


.考虑 如 下 一 段 C 程序， 以 及 16 位 微 控制 器 的 简化 存储 器 映射 。 假 设 栈 是 从 数据 与 程序 存储 器 的 项 


部 向 下 增加 的 《区域 D)， 程 序 和 静态 变量 存储 在 该 区 域 的 底部 (区域 C)， 且 假设 整个 地 址 空间 与 物 
理 存 储 器 相互 关联 。 


#include <stdio.h> 





1 
2 #define FOO 0x0010 D OxFFFF 
3 int n; 数据 与 程序 存储 器 
4 int: m 
5 void foo(int a) { 栈 
6 if > 0 
ge Mee ee c 程序 与 静态 变量 
á 0x0020 
存储 器 映射 VO dD 


9 } 

0x000F 
10 } 中 断 向 量 0x0000 
un int main() { 


12 n 0; 
(int) FOO; 





a 
Io 
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14 foo (x*xm); 
15 printf("n = d\n", n); 
16 } 


假定 本 系统 中 int 型 数 是 16 位 的 ， 没 有 操作 系统 且 无 存储 器 保护 ， 程 序 已 经 被 编译 并 装载 到 内 
存 的 C 区 域 。 s 

(a) 对 于 变量 n、m 和 a， 请 说 明 各 变量 将 被 存储 在 内 存 的 哪个 区 域 (区 域 A、B 、C 或 者 D)。 

(b) 如 果 在 入 口 时 0x0010 地 址 的 值 为 0， 请 确定 程序 将 如 何 运 行 。 

(c) 如 果 在 入 口 时 0x0010 地 址 的 值 为 1， 请 确定 程序 将 如 何 运 行 。 

. 有 如 下 一 段 程序 。 


1 int a = 2; 


2 void foo(int b) { 
3 print£ ("%a", b); 
4 } 

5 int main(void) { 
6 foo(a); 

7 a= 1; 

8 } 


请 问 “ 传 递 给 函数 foo 的 变量 a 的 值 一 直 是 2” 这 一 说 法 是 否 成 立 ? 请 说 明 原因 。 假 设 这 就 
是 完整 的 程序 ， 该 程序 存储 在 持久 性 内 存 中 ， 每 次 按 下 复位 按钮 时 程序 就 在 微 控制 器 裸 机 上 重新 
执行 。 
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输入 与 输出 


由 于 信息 物理 融合 系统 兼 具 计 算 和 物理 动态 性 ， 处 理 器 中 支持 与 外 部 世界 交互 的 机 制 就 
成 为 所 有 设计 工作 ila 系统 设计 人 员 必 然 要 面临 一 系列 问题 。 其 中 ， 接 口 的 机 械 、 电 气 
属性 非常 重要 。 要 是 对 这 x 些 属性 使 用 不 当 ， 如 引 脚 上 的 电流 过 大 ， 可 能 iape i 
障 或 者 缩短 系统 的 使 用 寿命 。 男 外 ， 在 物理 世界 中 ， 很 多 事情 是 瞬时 发 生 的 ， 而 软件 则 更 
是 顺序 执行 的 。 调 和 这 些 完全 不 同 的 属性 是 一 个 非常 大 的 挑战 ， 而 且 通 常 也 是 内 ARIT. 
计 中 最 大 的 风险 因素 。 有 顺序 的 代码 与 物理 世界 中 并 发 事件 间 的 不 恰当 交互 ， 可 能 会 引起 严 
重 的 系统 故障 。 在 本 章 ， 我 们 就 来 讨论 这 些 问 题 。 


10.1 I/O 硬件 


骨 入 式 处 理 需 如 微 控 制 器 、DSP， 或 者 通用 处 理 器 通常 都 提供 一 组 片上 的 输入 和 输出 
(10) 机 制 ， 并 以 芯片 引 脚 的 形式 暴露 给 设计 人 员 。 本 节 将 回顾 一 些 常 en, 并 通过 以 下 
示例 来 说 明 它 们 的 具体 特性 


示例 10. 图 10-1 所 示 是 一 JTAG 和 SWD 接口 


个 采用 Luminary Micro Stellaris 微 
控制 器 的 评估 板 ， 该 控制 器 的 核心 
是 一 个 32 位 的 ARM Cortex - M3 
处 理 器 。 处 理 器 位 于 图 中 间 偏 下 的 连接 到 GPIO 


USB 接口 


ae graphics > ;让 
立 置 。 微 控制 器 两 侧 以 及 评估 板 顶 引 脚 的 开关 display iinet Pw 
部 与 底部 的 连接 器 引出 了 微 控 制 器 < > ae 
的 大 多 数 引 脚 。 该 评估 板 通 常用 于 模拟 输入 







搭建 嵌入 式 应 用 的 原型 系统 ， 而 (ADC) — dontrolles < 一 一 GPIO 连接 器 
最 终 的 产品 中 ， 这 将 被 替换 为 只 


N : — PWM 输出 
留 应 用 所 需 硬件 的 定制 电路 板 。 工 (h : 














程 师 则 使 用 供应 商 提供 的 集成 开 可 移动 Flash 

“oer (IDE) 来 开发 嵌入 式 软件 ， 存储 器 插 本 ___ 总 线 接 
司 化 到 板 底 部 插 模 

并 将 软件 固化 到 评估 板 底 部 插 模 中 \ 以 太 网 接口 


的 Flash y 储 器 中 。 或 者 ， 也 可 以 
通过 板子 顶部 的 USB 接口 通过 开 
发 计算 机 9 将 软件 加 载 到 评估 板 


图 10-1 Stellaris LM3S8962 评估 板 (Luminary Micro®, 2008a). 
(Luminary Micro 于 2009 年 被 德州 仪器 收购 ) 


上 例 的 评 佑 板 中 集成 了 多 个 处 理 器 ， 用 于 支持 一 个 显示 接口 及 其 他 多 个 不 同 的 硬件 接 


O 通常 称 为 宿主 机 。 一 一 译 者 注 
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O (如 开关 、 扬 声 右 等 )。 这 样 一 个 硬件 通常 被 称 为 单 板 计算 机 (Single-Board Computer, 
SBC) 或 者 微 计算 机 板 (microcomputer board)。 接 下 来 我们 将 讨论 由 微 控 制 器 或 单 板 计算 
机 所 提供 的 这 些 接口 。 为 了 更 全 面 地 理解 所 使 用 的 各 种 IO 接口 ， 我 们 推荐 读者 进一步 阅读 
Valvano ( 2007 ) 和 Derenzo ( 2003 ) 等 文献 。 


10.1.1 脉冲 宽度 调制 


脉冲 宽度 调制 (Pulse Width Modulation, PWM) 是 将 可 变 大 小 的 功率 有 效 地 传输 给 外 部 
硬件 设备 的 技术 。 例 如 ， 该 技术 可 用 于 控制 电机 的 速度 、LED 灯 的 亮度 以 及 加 热 元 件 的 温 
度 等 。 通 常情 况 下 ， 其 可 以 将 大 小 变化 的 功率 传输 给 可 以 承受 电压 和 电流 快速 突变 的 设备 。 

由 于 PWM 硬件 仅 适 用 数字 电路 ， 因 此 很 容易 被 集成 到 基于 微 控制 器 的 芯片 中 。 通 过 特 
定 的 设计 ， 数 字 电 路 只 会 产生 高 、 低 两 个 电压 。 一 个 PWM 信号 以 某 个 固定 的 频率 在 高 低 电 
压 之 间 快 速 切换 ， 改 变 信 号 为 高 电 平时 的 时 间 总 长 度 。 占 空 比 是 信号 总 长 度 中 电压 为 高 的 时 
间 比 例 。 如 果 占 空 比 为 100%， 那 么 电压 就 一 直 为 高 ; 如 果 占 空 比 为 0%， 电压 就 一 直 为 低 。 

很 多 微 控制 器 都 提供 了 一 组 PWM 类 型 的 外 围 组 件 ( 见 图 10-1 )。 对 于 这 些 组 件 ， 程 序 
员 通 常 只 要 在 组 件 对 应 的 存储 器 映射 寄存 器 中 写 人 特定 值 ， 设 置 占 空 比 (频率 也 是 可 以 设置 
的 ) 即 可 。 之 后 ， 相 应 的 组 件 就 可 以 以 与 设 定 的 占 空 比 成 正比 地 将 功率 传输 给 外 部 硬件 。 

PWM 是 传输 可 变 功率 的 一 种 有 效 途径 ， 但 这 仅 针 对 特定 设备 。 例 如 ， 一 个 加 热 元 件 是 
一 个 电阻 ， 随 着 更 多 的 电流 流 过 电阻 ， 其 温度 升 高 。 相 比 PWM 信号 的 频率 ， 电 阻 温度 的 变 
化 相对 慢 ， 因 此 ， 快 速 变化 的 信号 电压 是 由 电阻 平均 的 ， 且 对 于 一 个 固定 的 占 空 比 ， 温 度 
将 会 非常 接近 于 一 个 常量 。 类 似 地 ， 电 机 也 会 对 输入 电压 的 快速 变化 进行 平均 ， 白 炽 灯 和 
LED 灯 也 是 如 此 。 对 于 任何 设备 ， 当 其 对 电流 或 电压 变化 的 响应 速度 慢 于 PWM 信号 频率 
时 ， 该 设备 潜在 地 都 可 以 通过 PWM 进行 控制 。 


10.1.2 通用 数字 I/O 


嵌入 式 系统 设计 人 员 经 常 将 专用 的 或 定制 的 数字 硬件 连接 到 舱 入 式 处 理 嚣 。 舱 入 式 处 理 
器 大 都 具有 一 定数 量 的 通用 W/O (General-Purpose IO，GPIO )， 其 允许 软件 读 写 以 电压 级 别 
表示 的 逻辑 0 或 1。 如 果 处 理 器 的 供电 电压 (supply voltage， 或 电源 电压 ) 为 Vp, EBE 
平 有 效 逻 辑 ( active high logic) 中 ， 接 近 于 Vo 的 电压 表示 逻辑 1， 接 近 零 的 电压 表示 逻辑 
0。 在 低 电 平 有 效 逻 辑 (active low logic) 中 ， 人 情况 则 正好 相反 。 

在 很 多 设计 中 ， 一 个 GPIO 引 脚 可 以 被 配置 为 输出 ， 这 使 得 软件 可 以 通过 写 存 储 器 映射 
寄存 器 将 输出 电压 设置 为 高 电压 或 低 电 压 。 基 于 这 一 机 制 ， 软 件 可 以 直接 控制 外 部 的 物理 
设备 。 

但 要 注意 的 是 ， 这 需要 非常 遵 慎 。 当 把 硬件 连接 到 GPIO 引 脚 时 ， 设 计 人 员 必 须 理 解 
该 硬件 部 分 的 技术 参数 ， 特 别 是 设备 间 的 电压 和 电流 差异 。 如 果 输 入 逻辑 1 时 GPIO 引 脚 
会 输出 一 个 Vo 电压 ， 那 么 设计 人 员 就 需要 在 连接 电路 之 前 了 解 设 备 的 电流 限制 。 例 如 ， 
如 果 阻 值 为 RQ 欧姆 的 设备 连接 到 该 引 脚 ， 那 么 由 欧姆 定律 就 可 以 得 出 如 下 输出 电流 计算 


公式 。 





I=Vpp/R 
让 电流 保持 在 规定 的 容 差 范围 内 是 非常 重要 的 ， 而 一 旦 超出 容 差 范围 就 可 能 会 导致 设备 
的 过 热 和 损坏 。 功 率 放 大 器 (power amplifier) 可 以 被 用 来 传输 足够 的 电流 ， 也 可 以 被 用 来 


改变 电压 。 


< Luminary Micro Stellaris 微 控制 器 的 GPIO 引 脚 如 图 10-1 所 示 ， 其 可 以 被 
配置 为 提供 或 吸收 不 超过 18mA 电流 的 工作 模式 。 当 然 ， 哪 些 引 脚 的 组 合 可 以 处 理 这 种 相对 
较 高 的 电流 是 有 一 定 限制 的 。 例 如 ，Luminary Micro @ (2008b) 给 出 了 一 个 说 明 “ 选 择 大 电 
流 的 GPIO 封装 引 脚 时 ， 物 理 封 装 的 每 侧 最 多 只 能 选择 两 个 大 电流 引 脚 …… 整 个 芯片 的 大 电 
流 GPIO 输出 引 脚 总 数 不 应 超过 4 个 。” 该 约束 用 于 防止 设备 过 热 。 


另外 ， 保 持 处 理 器 电路 与 外 部 设备 的 电气 隔离 (electrical isolation) 也 是 非常 重要 的 。 
外 部 设备 可 能 会 存在 杂乱 的 (噪声 ) 电气 特性 ， 如 果 这 些 噪 声 涌 入 处 理 器 的 电源 或 接地 线路 
就 有 可 能 造成 处 理 器 的 不 可 靠 。 又 或 者 ， 外 部 设备 可 能 工作 在 与 处 理 器 不 同 的 电压 或 功率 状 
态 下 。 一 个 有 效 的 策略 是 将 电路 划分 为 互相 影响 非常 小 的 多 个 电气 域 (electrical domain, tH 
称 电 畴 )， 不 同 域 的 电路 可 以 使 用 独立 的 电源 。 光 隔离 器 及 变压器 等 隔离 组 件 则 可 用 于 实现 
跨 电气 域 的 通信 。 前 者 将 一 个 电气 域 中 的 电信 和 号 转换 为 光 信 号 ， 同 时 检测 另 一 个 电气 域 中 的 
光 信 和 号 并 将 其 转换 回电 信和 号。 后 者 则 采用 了 电气 域 之 间 的 电感 耦合 。 

GPIO 引 脚 也 可 被 配置 为 输入 ， 此 时 软件 可 以 对 外 部 的 电压 信号 进行 响应 。 一 个 输入 引 
脚 可 以 是 施 密 特 触 发 ( Schmitt triggered) 类 型 的 ， 此 时 输入 具有 迟滞 特性 ， 与 示例 3.5 中 的 
恒温 器 相似 。 施 密 特 触发 输入 引 脚 不 易 受 到 噪声 的 影响 。 施 密 特 触发 器 是 美国 科学 家 Otto 
H. Schmitt 于 1934 年 在 其 研究 生 阶 段 研 究 鲍 鱼 的 神经 脉冲 传播 过 程 中 发 明 的 ， 之 后 以 他 的 
名 字 命 名 。 


GEE 当 图 10-1 中 微 控 制 器 的 GPIO 引 脚 被 配置 为 输入 时 ， 就 是 施 密 特 触 发 类 
型 的 。 


在 很 多 应 用 中 ， 一 部 分 设备 会 共享 一 个 电气 连接 。 设 计 人 员 必 须 谨慎 地 确保 这 些 设备 不 
会 同时 将 其 驱动 连接 到 不 同 的 电压 ， 这 将 导致 引起 设备 过 热 乃 至 损坏 的 短路 问题 。 


CE 考虑 这 桩 一 个 工厂 车 间 : 几 个 相互 独立 的 微 控制 器 都 可 以 通过 在 输出 GPIO 
线路 上 产生 一 个 逻辑 0 来 关 停机 器 。 这 样 的 设计 可 以 更 好 地 保证 安全 性 ， 因 为 这 些 控制 器 是 
宛 余 的 ， 某 一 个 的 失效 并 不 会 影响 到 安全 相关 的 紧急 关 停 操作 。 如 果 所 有 这 些 GPIO 引线 都 
连接 在 一 起 ， 并 接 在 机 器 的 单个 控制 输入 引 脚 上 ， 那 么 就 必须 采取 预防 措施 以 确保 这 些微 控 
制 器 不 会 互相 短路 (注意 ， 当 一 个 微 控制 器 尝试 将 共享 线路 驱动 为 高 电 平 而 另 一 个 正在 将 其 
驱动 为 低 电 平时 就 会 出 现 这 种 情况 )。 


GPIO 输出 可 能 采用 如 图 10-2 所 示 的 集 电 极 开 路 
(open collector， 也 称 开 放 收 集 器 ) 电路 。 在 这 样 的 电路 中 ， 
对 (存储 器 映射 ) 寄存 器 写 人 一 个 逻辑 1 将 会 使 驱动 晶体 
$ (transistor) 导 通 ， 其 将 把 输出 引 脚 的 电压 拉 成 低 电 平 。 
在 寄存 器 中 写 和 人 逻辑 0 将 会 使 晶体 管 断 开 ， 此 时 输出 引 脚 
为 未 连接 ， 即 “开路 ”。 

多 个 集 电 极 开 路 接口 可 以 按 图 10-3 所 示 的 方式 连接 。 
公共 线路 上 连接 了 一 个 上 拉 电 阻 (pull-up resistor)， 会 在 所 图 10-2 GPIO 引 脚 的 集 电 极 开 
有 晶体 管 都 关闭 时 将 该 线路 上 的 电压 拉 高 至 Vooo 如 果 任 路 电路 
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何 一 个 晶体 管 打开 ， 它 将 把 整 条 线路 的 电压 拉 低 至 零 电压 〈 附 近 )， 且 不 会 导致 与 其 他 GPIO 
引 脚 的 短路 。 逻 辑 上 ， 为 了 输出 高 电 平 ， 所 
有 这 些 寄 存 器 的 值 都 必须 为 0。 如果 有 任何 一 
个 寄存 器 的 值 为 1， 输 出 就 为 低 电 平 。 假 设 
是 高 电 平 有 效 逻 辑 ， 所 执行 的 是 异 或 (NOR) 
逻辑 功能 ， 这 样 的 电路 被 称 为 线 异 或 ( wired 
NOR)。 采 用 不 同 的 配置 ， 可 以 类 似 地 构造 出 
线 或 (wired OR) 或 者 线 与 (wired AND). 

“ 集 电极 开路 ”一 词 源 自 双 极 晶体 管 端子 
的 名 字 。 在 CMOS 技术 中 ， 这 一 类 型 的 接口 
通常 被 称 为 漏 极 开路 (open drain, BK FF ie) 
接口 。 本 质 上 ， 它 也 具有 相同 的 工作 方式 。 图 10-3 ”多 个 集 电 极 开路 电路 连接 


GED 当 把 如 图 10-1 所 示 微 控制 器 的 GPIO 引 脚 配置 为 输出 时 ， 其 就 可 以 被 设置 
为 开 漏电 路 。 它 们 的 内 部 逻辑 中 也 可 能 会 提供 相应 的 上 拉 电 阻 ， 此 时 ， 就 可 以 减少 印 制 电 路 
板 所 需 外 部 分 立 元 件 的 数量 。 


GPIO 输出 也 可 以 实现 三 态 (tristate) 逻辑 ， 这 意味 着 除了 输出 高 电 平 或 者 低 电 平 ， 引 脚 
还 有 可 能 被 简单 地 断 开 。 如 同 集 电极 开路 接口 ， 这 可 以 方便 在 多 个 设备 之 间 共 享 同 一 个 外 部 
电路 。 与 集 电极 开路 接口 不 同 的 是 ， 一 个 三 态 设计 既 能 输出 高 电 平 ， 也 能 输出 低 电 平 ， 而 不 
只 是 其 中 之 一 。 


10.1.3” 串 行 接口 


艇 入 式 处 理 器 设计 人 员 面 临 的 一 个 关键 约束 是 要 采用 小 的 物理 封装 和 低 的 功 耗 。 由 此 ， 
嵌入 式 处 理 器 集成 电路 的 引 脚 数量 通常 是 有 限 的 ， 每 一 个 引 脚 都 应 该 被 充分 利用 。 另 外 ,在 
将 多 个 子 系统 连接 到 一 起 时 ， 必 须 限 制 电路 连 线 的 数量 以 保证 整个 系统 的 体积 与 成 本 等 都 是 
可 控 的 。 所 以 ， 必 须要 充分 利用 电路 连 线 。 一 种 充分 利用 这 些 引 脚 和 电路 连 线 的 方式 是 在 其 
上 串 行 地 传输 位 的 序列 ， 这 样 的 接口 被 称 为 串 行 接口 (简称 串口 )。 至 今 ， 在 工业 界 已 经 形 
成 了 一 组 串 行 接口 标准 ， 这 使 得 不 同 厂商 的 设备 (通常 ) 可 以 进行 互 连 。 

一 个 在 早期 出 现 并 沿用 至 今 的 标准 是 美国 电子 工业 协会 (Electronic Industrial 
Association, EIA) 制定 的 RS-232， 该 标准 最 早 在 1962 年 被 引入 ， 用 于 连接 电 传 打字 机 与 
调制 解 调 器 。 标 准 定义 了 接口 的 电气 信号 和 连接 器 类 型 ， 其 一 直 沿 用 至 今 的 原因 在 于 简单 性 
以 及 使 用 这 类 接口 的 工业 装备 持续 普及 。 该 标准 同时 定义 了 一 个 设备 如 何 异 步 地 向 另 一 个 
设备 传输 字 节 (异步 意味 着 设备 之 间 没 有 共享 的 时 钟 信 号 )。 在 较 早期 的 个 人 计算 机 中 ，RS- 
232 接口 大 都 采用 了 如 图 10-4 所 示 的 DB-9 连接 右 形 式 。 微 控制 器 通常 使 用 通用 异步 接收 器 
/发 送 器 (Universal Asynchronous Receiver/Transmitter, UART) 将 8 位 寄存 器 的 内 容 转 换 为 
RS-232 串 行 链 路 上 传输 的 位 的 序列 。 

对 于 舱 入 式 系统 设计 人 员 ， 一 个 需要 重点 考虑 的 问题 是 RS-232 接口 的 速度 可 能 非常 低 ， 
甚至 可 能 会 影响 到 应 用 软件 的 速度 。 





上 拉 电 阻 


Atmel AVR 微 控制 器 的 所 有 型 号 都 提供 了 一 个 可 用 于 连接 RS-232 的 UART 
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接口 。 为 了 在 串口 上 发 送 一 字 节 ， 应 用 程序 中 可 能 需要 采用 如 下 人 代码。 其中， 变量 x 的 类 型 
是 uint8_t (指定 8 位 无 符号 整 型 的 C 语言 数据 类 型 ); 符号 UCSROA 和 UDRO 定义 在 由 AVR 
IDE 所 提供 的 头 文件 中 ,指向 AVR 体系 中 存储 器 映射 寄存 器 的 内 存 位 置 。 

1 while(! (UCSROA & 0x20)); 

2 UDRO = x; 

第 一 行 执行 一 个 空 循环 while， 直 到 串 行 发 送 缓冲 区 为 空 。 在 AVR 体系 结构 中 ， 通 过 将 
存储 器 映射 寄存 器 UCSROA 的 第 六 位 设置 为 1 来 表示 发 送 缓冲 区 为 空 。 当 该 位 为 1 时 ， 表 
IA ! (UCSROA & 0x20) 的 值 为 0 E while 循环 被 打 断 。 第 二 行 代码 将 变量 x 中 要 发 送 的 
值 加载 到 存储 器 映射 寄存 器 UDRO 中 。 

假设 要 发 送 数 组 x 中 的 8 字 节 序列 ， 可 以 用 如 下 C 代码 来 实现 该 功能 

1 FOEL = OF 2 < g i+) | 

2 while (! (UCSROA & 0x20)); 

3 UDRO = x[i]; 

4 } 

那么 这 段 代码 需要 多 久 的 执行 时 间 呢 ? 假设 串口 的 波 特 率 被 设置 为 57600Baud 或 者 bit/ 
s (57600Baud 对 于 RS-232 接口 而 言 是 非常 快 的 速度 )。 向 UDR0 加 载 一 个 8 位 的 值 之 后 ， 
发 送 这 个 8 位 数据 的 时 间 为 8/57 600s， 约 139ms。 假 设 处 理 器 运行 在 18MHz 的 频率 下 (对 
于 微 控制 器 而 言 是 相对 较 慢 的 频率 )， 那么 除了 第 一 次 执行 for 循环 之 外 ， 每 个 while 循环 将 
需要 占用 约 2500 个 时 钟 周期 。 然 而 ， CRAM Reena ia eee 

程序 员 可 以 使 用 如 下 C 代码 在 串口 上 接收 一 字 节 。 此 代码 中 while 循环 会 一 直 等 待 ， 直 
到 UART 接口 接收 到 一 字 节 。 程 序 员 必 
须 确 保 一 定 会 有 字 节 到 来 ， 否 则 该 代码 
将 会 无 限 执 行 。 如 果 该 代码 是 在 一 个 循 
环 中 执行 以 接收 字 节 的 序列 ， 那 么 while 
循环 在 每 次 执行 时 将 需要 占用 大 量 的 时 
钟 周期 。 DB-9 串 行 端口 DB-25 并 行 端口 

1 while(! (UCSROA & 0x80)); 

2 return UDRO; 

对 于 串口 上 的 发 送 和 接收 ， 程 序 员 
可 以 使 用 中 断 (interrupt) 来 避免 因为 等 
待 串 行 通信 的 发 生 而 使 得 处 理 器 处 于 空 
himga 关于 中 断 的 知识 我 们 将 在 随后 

容 中 讨论 。 图 10-4 串 行 、 并 行 接口 的 连接 器 








IEEE 488 


RS-232 的 通信 机 制 实 际 上 是 非常 简单 的 。 发 送 方 和 接收 方 首先 必须 协商 相同 的 传输 速 
率 (当前 标准 下 速度 较 慢 )。 发 送 方 用 一 个 起 始 位 (start bit) 发 起 字 节 的 传输 ， 起 始 位 用 于 
通知 接收 方 该 数据 传输 开始 。 之 后 ， 发 送 方 以 双方 商定 的 速率 发 送 位 的 序列 ， 最 后 发 送 一 位 
或 两 位 的 停止 位 (stop bit)。 接 收 方 的 时 钟 基 于 接收 到 的 起 始 位 进行 复位 ， 且 与 发 送 方 的 时 
钟 要 足够 接近 才能 够 对 顺序 到 来 的 信号 进行 采样 并 恢复 位 序列 。 在 RS-232 之 后 还 有 很 多 可 
以 支持 更 高 通信 速率 的 标准 ， 如 RS-422、RS-423 等 。 

目前 ， 连 接 个 人 计算 机 的 较 新 设备 大 都 采用 USB (Universal Serial Bus， 通 用 串 行 总 
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线 ) 接口 ， 相 关 标 准 是 由 供应 商 联 盟 制定 的 。USB1.0 出 现在 1996 年 ， 其 速率 为 12Mbit/s ; 
USB2.0 诞生 于 2000 年 ,速率 达到 480Mbit/s; 2008 年 推出 USB3.0， 其 速率 可 达 4.8Gbit/s。 

在 电气 特性 上 ，USB 较 RS-232 更 为 简单 ， 其 使 用 了 更 为 简单 和 和 鲁 棒 的 连接 器 ， 如 图 
10-4 所 示 。 但 是 ，USB 标准 定义 的 不 仅仅 是 字 节 的 电气 传输 ， 还 有 更 为 复杂 的 控制 逻辑 。 
由 于 新 式 的 外 设 ， 如 打印 机 、 硬 盘 驱 动 器 以 及 音频 与 视频 设备 等 都 使 用 了 微 控制 器 ， 那 么 对 
于 这 些 设备 而 言 ， 支 持 更 为 复杂 的 USB 协议 就 是 合适 的 。 

在 嵌 人 式 处 理 器 中 广泛 采用 的 另 一 个 串 行 接口 是 JTJAG (Joint Test Action Group, KA 
测试 行动 组 )， 或 者 更 为 正式 地 称 为 IEEE 1149.1 标准 测试 访问 端口 以 及 边界 扫描 结构 。 这 
种 接口 出 现在 20 世纪 80 年 代 中 期 ， 当 时 集成 电路 封装 以 及 印 制 电路 板 技术 已 经 发 展 到 使 
用 电 探 针 已 经 难于 甚至 不 可 能 进行 测试 的 阶段 。JTAG 接口 的 出 现 就 是 为 了 解决 探 针 不 能 探 
测 电路 中 待 检测 点 的 这 一 问题 。 边 界 扫描 (boundary scan) 方法 允许 通过 可 访问 的 引 脚 来 串 
行 地 读 取 或 者 写 人 电路 (传统 上 是 探 针 可 触及 的 引 脚 ) 的 一 个 逻辑 边界 。 目 前 ，JTAG 端口 
被 广泛 地 用 于 向 艇 入 式 处 理 器 提供 一 个 调试 接口 ， 进 而 使 得 驻 留 在 PC 上 的 调试 环境 可 以 检 
查 并 控制 嵌入 式 处 理 器 的 运行 状态 。 例 如 ，JTAG 端口 可 被 用 于 读 出 处 理 器 寄存 器 的 状态 、 
在 程序 中 设置 断 点 以 及 对 程序 进行 单 步调 试 等 。 另 一 个 新 的 版 本 是 串 行 线 调 试 ( Serial Wire 
Debug，SWD)， 其 通过 较 少 的 引 肢 来 提供 类 似 的 功能 。 

在 当今 做 人 式 应 用 中 ， 还 存在 很 多 其 他 类 型 的 串 行 接口 ,包括 PC (内 部 集成 电路 ) 总 
线 、SPI ( 串 行 外 设 接 口 总 线 )、PCI Express, FireWire, MIDI (乐器 数字 接口 )， 以 及 串 行 
的 SCSI (后 续 讨 论 ) 等 。 这 些 接 口中 的 每 一 种 都 有 其 自身 特性 和 用 途 。 另 外 ， 网 络 接口 通常 
也 是 串 行 的 。 


10.1.4 “并行 接口 


串 行 接口 是 在 单条 线路 上 顺序 地 发 送 或 接收 位 序列 。 并 行 接口 parallel interface) 则 使 
用 多 条 线路 同时 传输 多 个 数据 位 。 当 然 ， 并 行 接口 的 每 条 线路 也 都 是 串 行 的 ， 但 是 这 些 线路 
的 逻辑 分 组 以 及 协同 动作 是 并 行 工 作 的 。 

从 发 展 历程 的 角度 来 看 ， 使 用 最 为 广泛 的 一 个 并 行 接口 是 IEEE-1284 打印 机 接口 ， 在 
IBM PC 中 采用 的 是 图 10-4 所 示 的 DB-25 连接 器 。 该 接口 出 现在 1970 年 的 Centronics 101 
型 打印 机 中 ， 因 此 也 被 称 为 Centronics 打印 机 端口 。 现 在 ， 打 印 机 通常 都 是 使 用 USB 接口 
或 者 无 线 网 络 进行 连接 的 。 

若 采用 特定 的 程序 设计 机 制 ， 也 可 以 用 一 组 GPIO 引 脚 来 实现 一 个 并 行 接口 。 实 际 上 ， 
嵌入 式 系统 设计 人 员 有 时 会 用 一 组 GPIO 来 模拟 硬件 所 不 直接 支持 的 接口 。 

并 行 接口 使 用 更 多 的 线路 来 互相 连接 ， 从 直观 上 看 ， 其 似乎 应 该 比 串 行 接口 具有 更 高 的 
性 能 。 但 实际 情况 并 非 如 此 。 并 行 接口 的 一 个 重要 挑战 是 要 在 多 条 线路 上 保持 同步 ， 而 这 在 
连接 的 物理 长 度 增 大 时 变 得 非常 困难 。 实 际 上 ， 由 于 并 行 接口 要 使 用 体积 更 为 庞大 的 电缆 和 
更 多 的 VO 引 脚 ， 因 此 传统 的 并 行 接口 正在 被 串 行 接 口 所 代替 。 


10.1.5 Be 


总 线 (bus) 是 在 多 个 设备 间 直 接 共享 的 接口 ， 这 不 同 于 仅 连 接 两 个 设备 的 点 到 点 连接 。 
总 线 可 以 是 串 行 接口 (如 USB) 或 者 并 行 接口 。 一 个 广泛 应 用 的 并 行 接口 是 SCSI (小 型 计 
算 机 系统 接口 )， 其 通常 用 于 将 硬盘 驱动 器 以 及 磁带 驱动 器 连接 到 计算 机 。 新 的 SCSI 接口 版 


152 P-B KARAAT 


本 不 再 采用 并 行 形 式 ， 而 已 成 为 串 行 接口 。SCSI 是 外 设 总 线 (peripheral bus) 体系 结构 的 一 
个 实例 ， 也 可 用 于 连接 计算 机 和 外 设 〈 如 声卡 、 硬 盘 驱 动 器 等 )。 

其 他 广泛 使 用 的 外 设 总 线 标准 还 有 1SA 总 线 (在 IBM 的 PC 体系 中 普遍 使 用 )、PCI 
(外 围 组 件 接口 ) 以 及 并 行 ATA (高 级 技术 附加 装置 ) 等 。 一 个 略微 不 同 的 外 设 总 线 标准 是 
IEEE-488, 30 多 年 以 前 开发 且 最 初 是 用 来 连接 计算 机 和 自动 测试 装备 的 。 该 接口 由 惠普 设 
计 并 以 HP-IB (惠普 接口 总 线 ) 和 GPIB ( General Purpose Interface Bus) 的 名 字 广 为 人 知 。 
很 多 网 络 也 使 用 了 总 线 体 系 结构 。 

由 于 总 线 在 多 个 设备 间 共 享 ， 那 么 ， 任 何 总 线 体系 结构 就 必须 提供 一 个 介质 访问 控制 
(Media-Access Control, MAC) 协议 来 仲裁 访问 竞争 。 简 单 的 MAC 协议 中 存在 一 个 询问 
总 线 从 设备 的 主 设备 ， 如 USB 就 使 用 了 这 一 机 制 。 另 一 种 是 时 间 触 发 总 线 ( time-triggered 
bus)， 这 类 总 线 为 各 个 设备 分 配 了 可 以 传输 数据 的 时 间 槽 (没有 数据 要 传输 时 也 可 不 分 
配 )。 第 三 种 是 令 牌 环 (token ring)， 环 总 线 上 的 设备 在 访问 共享 介质 之 前 必须 先 获得 一 个 令 
牌 ， 而 且 令 牌 会 以 某 种 模式 在 设备 中 传递 。 第 四 种 方法 是 使 用 一 个 总 线 仲 裁 器 ， 这 个 电路 
组 件 会 根据 某 种 优先 级 机 制 处 理 总 线 上 的 请 求 。 第 五 种 是 载波 侦 听 多 路 访问 〈 Carrier Sense 
Multiple Access, CSMA) 协议 ， 设 备 监 听 载 波 以 确定 介质 是 否 正 在 使 用 ， 并 在 开始 使 用 时 
检测 冲突 ， 当 冲突 产生 时 会 延 时 再 尝试 。 

总 体 而 言 ， 共 享 物理 介质 都 会 对 应 用 的 时 间 特 性 产生 影响 。 


GRP 外 设 总 线 提 供 了 外 部 设备 与 CPU 之 间 的 通信 机 制 。 如 果 一 个 外 部 设备 需要 
传输 大 量 数 据 到 主 存 ， 每 次 传输 都 请 求 CPU 将 会 是 低 效 和 /或 破坏 性 的 。 一 个 典型 的 解决 
方案 是 直接 存储 器 访问 (Direct Memory Access, DMA), Æ ISA 总 线 的 DMA 机 制 中 ， 数 据 
访问 由 一 个 称 为 DMA 控制 器 的 独立 设备 负责 ， 其 控制 总 线 并 传输 数据 。 在 近期 的 一 些 设计 
中 ， 如 PCI， 外 部 设备 可 以 直接 取得 对 总 线 的 控制 并 传输 数据 而 无 需 专用 DMA 控制 器 的 帮 
助 。 对 于 这 两 种 情况 ， 在 传输 数据 的 过 程 中 CPU 就 可 以 执行 软件 。 但 如 果 CPU 执行 的 代码 
也 要 访问 内 存 或 者 外 设 总 线 ， 程 序 的 时 序 将 会 被 DMA 操作 所 扰乱 。 这 样 的 时 序 问题 将 会 很 
难 分 析 。 


10.2 并 发 世界 中 的 顺序 软件 


如 示例 10.6 中 所 见 ， 当 软件 与 外 部 世界 交互 时 ， 软 件 的 执行 时 序 可 能 会 受到 严重 的 影 
响 。 软 件 本 质 上 是 顺序 的 ， 且 通常 要 尽 可 能 快 地 执行 ， 而 物理 世界 是 并 发 的 ， 很 多 事件 会 同 
时 发 生 并 由 其 物理 属性 确定 发 生 的 速度 。 将 这 两 类 不 匹配 的 语义 进行 桥接 是 苦 入 式 系统 设计 
人 员 所 要 面临 的 主要 挑战 ， 本 节 将 讨论 实现 这 一 目标 的 几 个 关键 机 制 。 


10.2.1 ”中断 与 异常 


中 断 (interrupt) 是 停止 处 理 器 的 当前 执行 并 转 而 执行 一 个 预先 定义 的 代码 序列 的 机 
制 。 所 执行 的 这 个 代码 序列 被 称 为 中 断 服务 例 程 (Interrupt Service Routine, ISR) 或 中 断 
句柄 (interrupt handler), KAKI, ， 共 有 三 种 类 型 的 事件 可 以 触发 中 断 。 一 是 硬件 中 断 
(hardware interrupt)， 某 些 外 部 硬件 改变 了 中 断 请 求 线 上 的 电 平 。 二 是 软件 中 断 ( software 
interrupt)， 在 该 情形 下 ， 由 正在 执行 的 程序 通过 一 条 特定 指令 或 者 写 一 个 存储 器 映射 寄存 器 
来 触发 中 断 。 第 三 种 被 称 为 异常 (exception)， 由 检测 到 错误 〈 如 分 段 错误 ) 的 内 部 硬件 来 触 
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发 中 断 。 

对 于 前 两 种 方法 ， 一旦 ISR 完成 ， 被 中 断 的 程序 会 从 之 前 离开 的 位 置 继续 执行 。 而 在 异 
常 模式 下 ， 一 旦 ISR 完成 执行 ， 触 发 异常 的 程序 通常 不 会 恢复 执行 。 相 反 地 ， 程 序 计 数 器 会 
被 设置 为 某 个 固定 的 位 置 ， 例 如 ， 在 该 位 置 操作 系统 会 终止 这 个 出 现 问题 的 程序 。 

当 一 个 中 断 触发 到 来 时 ， 硬 件 必须 首先 决定 是 否 要 做 出 响应 。 如 果 中 断 是 被 禁止 的 ， 则 
不 会 响应 。 禁 止 或 使 能 中 断 的 机 制 在 不 同 处 理 器 中 有 所 差异 ， 某 些 处 理 器 中 允许 一 部 分 中 
断 是 使 能 的 而 另外 一 些 被 禁止 。 中 断 和 蜡 常 一 般 都 有 优先 级 ， 仅 当 处 理 器 不 再 处 理 更 高 优先 
级 的 中 断 时 ， 较 低 优先 级 的 中 断 才 能 得 到 执行 。 通 常 ， 异 常 具有 最 高 的 优先 级 且 总 会 得 到 
服务 。 

当 硬 件 确定 要 响应 一 个 中 断 时 ， 它 通常 会 首先 禁止 中 断 ， 将 当前 的 程序 计数 器 和 处 理 咒 
状态 寄存 器 等 压 栈 ， 进 而 转 到 跳 往 ISR 的 指定 地 址 。ISR 必须 将 它 所 要 使 用 寄存 器 的 当前 值 
全 部 存储 在 栈 中 ， 并 在 从 中 断 返 回 时 将 这 些 值 又 恢复 至 相应 的 寄存 器 ， 以 便于 让 被 中 断 的 程 
序 能 够 恢复 执行 。 注 意 ， 中 断 服务 例 程 或 者 硬件 必须 在 从 中 断 返 回 之 前 重新 使 能 所 禁止 的 
中 断 。 


GEIR ARM Cortex - M3 是 一 个 用 于 工业 自动 化 和 其 他 应 用 的 32 位 微 控 制 器 。 其 
具有 一 个 称 为 SysTick 的 系统 定时 器 。 该 定时 器 可 以 被 用 来 触发 一 个 每 毫秒 执行 一 次 的 
ISR。 假 设 要 从 某 个 初始 计数 值 向 下 计数 ， 每 毫秒 计数 一 次 直至 为 零 时 计数 停止 。 如 下 C 代 
码 给 出 了 实现 该 功能 的 ISR。 


1 a ia uint timerCount = 0; 
2 void countDown (void) { 

3 if (timerCount != 0) { 

4 timerCount--; 

5 } 

6 } 

这 里 ， 变 量 timerCount 是 一 个 全 局 变量 且 每 次 countDown( ) 函数 被 调用 时 其 值 减 1， 
直至 为 0。 把 countDown( ) 函数 注册 为 一 个 中 断 服务 例 程 ， 每 毫秒 就 会 执行 一 次 。 变 量 
timerCount 由 C 语言 的 volatile 关键 字 所 标识 ， 用 以 通知 编译 器 在 程序 执行 期 间 该 变量 的 值 
可 能 会 发 生 不 可 预知 的 改变 。 该 关键 字 会 阻止 编译 器 执行 某 些 优化 操作 ， 如 将 变量 的 值 缓存 
在 寄存 器 中 并 反复 读 取 。 使 用 Luminary Micro® (2008c) 提供 的 C 语言 API， 就 可 以 用 如 
下 代码 来 指定 countDown( ) 函数 作为 ISR 且 每 毫秒 被 调用 一 次 。 

SysTickPeriodSet (SysCtlClockGet() / 1000); 
SysTickIntRegister (&countDown) ; 
SysTickEnable(); 

SysTickIntEnable(); 

第 一 行 代码 设置 SysTick 定时 器 在 “节拍 ”之 间 的 时 钟 周期 数 ， 从 而 使 得 该 定时 器 会 在 
每 个 节拍 请 求 一 个 中 断 。 其 中 ，SysCtlClockGet( ) 是 一 个 库 函 数 ， 其 返回 目标 平台 时 钟 在 每 
一 秒 的 时 钟 周期 总 数 (例如 ，50MHz 时 为 50,000,000 )。 第 二 行 代 码 通 过 向 ISR 提供 一 个 函 
数 指针 (A countDown( ) 的 地 址 ) 来 注册 这 个 ISR (注意 ， 某 些 配置 并 不 支持 运行 时 的 ISR 
注册 ， 如 本 代码 所 示 ， 具 体 参 见 相 应 系统 的 手册 文档 )。 第 三 行 启 动 时 钟 ， 使 能 时 间 节 拍 。 
第 四 行使 能 中 断 。 
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例如 ， 所 设置 的 定时 器 服务 可 被 用 于 执行 某 些 功能 两 秒 ， 随 后 立即 停止 。 表 示 原 理 的 示 
例 代码 如 下 。 


1 int main(void) { 
timerCount = 2000; 
。 初 始 化 代码 ... 
while(timerCount != 0) { 
。 运行 2 秒 的 代码 ... 
} 


vou bu mw 


} 


Abs ae te ny RI tE AE re AL al AY 2 SS, SE EA ae m A Be] 
WHA. TERENE (BIE ANE TE SE {th ch HE at EE IT), 一 
Fa FE FY ABS A IC HS OI OR, HR LE SOR EE AS R F AE i 
要 重新 实现 哪些 内 容 。 


基础 知识 : 定时 器 
微 控制 器 几乎 总 是 包括 一 组 称 为 定时 器 (timer) 的 外 围 设备 。 可 编程 间隔 定时 器 
(Programmable Interval Timer，PIT) 是 最 为 常见 的 一 种 类 型 ， 其 简单 地 由 一 个 初 值 向 下 
计数 ， 直 至 为 0。 通 过 对 一 个 存储 器 映射 寄存 器 的 写 入 就 可 以 设置 寄存 器 的 初 值 ， 且 当 
该 值 到 0 时 了 PIT 就 会 触发 一 个 中 断 请 求 。 通 过 写 一 个 存储 器 映射 控制 寄存 器 ， 定 时 器 可 


以 被 设置 为 重复 触发 模式 ， 而 不 必 由 软 件 进 行 复位 。 相 对 于 每 一 次 ISR 被 调用 时 重启 定 
时 器 ， 这 样 的 重复 触发 机 制 将 具有 更 为 精确 的 周期 性 。 这 是 因为 定时 器 硬件 计数 到 达 0 
和 由 ISR 重启 计数 器 之 间 的 时 间 非 常 难以 控制 且 是 变化 的 。 例 如 ， 如 果 在 某 个 中 断 碰巧 
被 禁止 时 定时 器 的 计数 到 达 0， 那 么 ， 在 ISR 被 调用 之 前 将 有 一 个 延迟 ; 在 中 断 被 重新 
使 能 之 前 ，ISR 是 不 能 被 调用 的 。 





10.2.2 原子 性 


一 个 中 断 服务 例 程 可 以 在 主 程序 的 任意 两 条 指令 之 间 得 到 调用 (或 者 在 较 低 优先 级 ISR 
的 任意 两 条 指令 之 间 )。 对 于 租 入 式 软件 设计 人 员 而 言 ， 一 个 重要 的 挑战 在 于 对 可 能 的 指令 
交错 进行 推理 是 极为 困难 的 。 在 前 一 个 示例 中 ， 中 断 服务 例 程 及 主 程序 通 过 timerCount 这 
个 共享 变量 进行 交互 。 该 变量 的 值 可 以 在 主 程序 的 任意 两 个 原子 操作 (atomic operation) 之 
间 发 生 改 变 。 不 幸 的 是 ， 要 知道 哪些 操作 是 原子 的 可 能 会 非常 困难 。“ 原 子 的 ”一 词 来 源 于 
希腊 语 中 的 “不 可 分 割 的 ”(indivisible)， 但 对 于 程序 员 而 言 到 底 什 么 操作 是 不 可 分 割 的 却 并 
不 那么 清晰 。 如 果 程 序 员 正 在 编写 汇编 代码 ， 每 条 汇编 指令 都 是 原子 的 这 一 假设 可 能 是 成 立 
的 ， 但 很 多 指令 集体 系 结构 中 都 包括 了 非 原子 的 汇编 级 指令 。 

ARM 指令 集 包 括 了 一 条 LDM 指令 ， 该 指令 将 连续 内 存 位 置 的 数据 装载 到 
多 个 寄存 器 中 。 该 指令 在 装载 过 程 中 可 以 被 中 断 (ARM Limited, 2006). 

在 C 程序 中 ， 很 难 知道 哪些 操作 是 原子 的 。 以 如 下 一 条 看 似 简 单 的 语句 为 例 : 

timerCount = 2000; 


在 一 个 8 位 微 控制 器 上 ， 这 条 语句 的 执行 需要 多 个 指令 周期 (一 个 8 位 的 字 不 能 存储 指 
令 和 常量 2000 ; 实际 上 ， 这 个 常量 也 并 不 能 用 8 位 的 字 来 存储 )， 而 中 断 可 能 会 在 这 些 执行 
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周期 中 的 某 个 时 刻 到 来 。 假 设 ISR 也 对 变量 timerCount 进行 写 操作 ， 此 时 ，timerCount 变 
量 最 终 的 值 可 能 有 8 位 是 由 ISR 设置 的 ， 其 他 的 位 则 由 以 上 的 C 代码 设置 。 最 终 的 值 可 能 
与 2000 完全 不 同 ， 也 不 同 于 中 断 服务 例 程 中 所 设 定 的 值 。 那 么 ， 在 32 位 处 理 器 上 这 个 缺陷 
还 会 出 现 吗 ?除非 完全 地 理解 [SA 和 编译 器 相关 的 机 制 ， 否 则 这 点 无 法 确认 。 从 这 样 的 角 
EA, EH C 语言 而 不 是 汇编 语言 来 编写 代码 似乎 并 没有 任何 好 处 。 

程序 中 类 似 的 缺陷 是 极其 难于 确定 和 纠正 的 。 尤 其 麻烦 的 是 ， 这 些 存 在 问题 的 指令 交错 
出 现 的 概率 非常 低 ， 因 此 在 测试 中 可 能 并 不 会 表现 出 来 。 对 于 安全 依 关 系统 而 言 ， 程 序 员 必 
须 尽 力 避 免 出 现 这 样 的 缺陷 。 一 种 解决 方法 是 如 第 6 章 所 述 的 那样 ， 采 用 高 级 并 发 计算 模型 
来 构造 程序 。 显 然 ， 这 些 计算 模型 的 实现 必须 是 正确 的 。 可 以 预测 ， 这 些 模 型 将 是 由 并 发 领 
域 的 专家 所 构建 的 ， 而 不 是 应 用 工程 师 。 

当 在 C 语言 以 及 ISR 的 层面 开展 设计 工作 时 ， 程 序 员 必 须 细致 地 推理 操作 的 顺序 。 虽 
然 很 可 能 存在 一 些 指 令 交 错 , 但 是 以 C 语句 序列 给 出 的 操作 必须 顺序 地 执行 (更 为 精确 地 ， 
它们 必须 就 像 在 顺序 执行 时 一 样 运 行 ， 即 使 是 使 用 了 乱 序 执行 等 机 制 ) 。 


GEE 在 示例 10.8 中 ， 程 序 设计 依赖 于 main( ) 函数 中 顺序 执行 的 语句 。 请 注意 
在 该 示例 中 ， 语 名 “timerCount = 2000;” 出 现在 “SysTickIntEnable( ); ”之 前 。 后 一 条 语句 
使 能 SysTick 中 断 。 因 此 ， 前 一 条 语 名 的 执行 并 不 会 受 SysTick 中 断 的 影响 。 


10.2.3 中断 控制 器 


中 断 控制 器 (interrupt controller) 是 处 理 器 中 处 理 中 断 的 逻辑 ， 支 持 一 定数 量 的 中 断 以 
及 一 组 优先 级 。 每 个 中 断 拥有 一 个 中 断 向 量 (interrupt vector)， 即 一 个 ISR 的 地 址 或 者 是 包 
含 所 有 ISR 地 址 的 中 断 向 量 表 (interrupt vector table) 中 的 一 个 索引 。 


GAR 如 图 10-1 所 示 的 Luminary Micro LM3S8962 控制 器 是 一 个 ARM Cortex - 
M3 核 的 微 控制 器 ， 其 可 支持 36 路 中 断 和 8 个 中 断 优先 级 。 如 果 两 个 中 断 被 分 配 了 相同 的 
优先 级 ,那么 向 量 更 小 的 中 断 将 具有 更 高 的 优先 级 。 


当 通 过 引 脚 电压 的 改变 来 触发 一 个 中 断 时 ， 响 应 可 以 是 电 平 触发 (level triggered) 或 者 
边沿 触发 (edge triggered)。 对 于 电 平 触发 的 中 断 ， 触 发 该 中 断 的 硬件 通常 会 保持 中 断 线 上 
WHR, 直到 其 得 到 确认 ， 从 而 表示 中 断 已 经 得 到 处 理 。 对 于 边沿 触发 的 中 断 ， 和 触发 中 断 的 
硬件 则 仅 会 在 一 个 很 短 的 时 间 内 改变 电压 。 在 以 上 两 种 情况 下 ， 可 以 使 用 集 电极 开路 的 电 
路 ， 使 得 多 个 设备 共享 一 条 用 于 中 断 的 物理 线路 (当然 ，ISR 将 通过 某 些 机 制 来 确定 是 哪个 
设备 引发 的 中 断 ; 例如 ， 读 取 每 个 设备 中 能 够 标识 中 断 的 存储 器 映射 寄存 器 )。 

在 多 个 设备 中 间 共 享 中 断 可 能 会 非常 棘手 ， 必 须 谨 慎 处 理 以 避免 低 优先 级 中 断 阻 塞 高 优 
先 级 中 断 的 执行 。 通 过 向 总 线 上 的 指定 地 址 写 数 据 来 发 起 中 断 具 有 可 使 同一 硬件 支持 更 多 不 
同 中 断 的 优势 ， 但 其 不 足 在 于 ， 外 围 设 备 必 须 包含 一 个 到 内 存 总 线 的 接口 ， 因 此 外 围 设备 会 
变 得 更 加 复杂 。 


10.2.4 ”中 断 建 模 


完全 理解 中 断 的 动态 行为 可 能 有 相当 大 的 难度 ， 很 多 灾难 性 的 系统 故障 就 是 由 不 可 预测 
的 相关 行为 所 引发 的 。 而 且 ， 处 理 器 技术 文档 中 关于 中 断 控 制 器 逻辑 的 描述 通常 也 不 够 严 
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谨 ， 从 而 就 留 下 了 很 多 可 能 不 够 明确 的 问题 。 使 得 这 些 逻 辑 更 为 清楚 准确 的 一 个 方法 是 : 用 
有 限 状 态 机 对 其 进行 建 模 。 


EP a 10-5 中 以 1SR 和 主 程序 的 有 限 状 态 机 模型 给 出 了 示例 10.8 中 两 秒 内 执 
行 某 些 动作 的 程序 逻辑 。 有限 状 态 机 的 状态 对 应 于 执行 中 标记 为 A 到 E 的 位 置 ， 如 左 侧 的 
程序 代码 所 示 。 这 些 位 置 在 C 代码 的 语句 之 间 ， 因 此 ， 可 以 在 这 里 假设 这 些 语 名 都 是 原子 
操作 (这 通常 是 一 个 有 问题 的 假设 )。 

我 们 可 能 希望 明确 程序 是 否 总 是 能 够 确定 地 到 达 位 置 C。 换 名 话说 ,我 们 能 否 有 把 握 断 
定 程序 将 会 完成 “任何 两 秒 时 间 的 计算 ”这 一 设计 功能 ? 状态 机 模型 将 有 助 于 我 们 回答 这 个 
问题 。 

现在 的 关键 问题 是 如 何 组 合 这 些 状态 机 以 正确 地 建 模 ISR 与 main 函数 中 两 段 顺序 代码 
之 间 的 交互 关系 。 很 显然 ， 异 步 组 合并 不 是 合适 的 选择 ， 因 为 在 这 里 交错 执行 并 非 是 任意 
的 。 具 体 来 讲 就 是 ，main 函数 可 以 被 ISR 中 断 ， 但 ISR 并 不 会 被 main 中 断 。 异 步 组 合并 不 
能 刻画 这 些 不 对 称 性 。 

假设 中 断 总 是 在 发 生 时 就 立即 得 到 服务 ,我 们 也 希望 存在 一 个 类 似 于 图 10-6 所 示 的 模 
型 。 在 该 图 中 ， 一 个 两 状态 的 有 限 状 态 机 对 中 断 是 否 正 被 服务 进行 建 模 。 从 状态 Inactive 到 
Active 的 迁移 是 由 一 个 纯 输入 assert 触发 的 ， 其 建 模 了 请 求 中 断 服务 的 定时 器 硬件 。 当 ISR 
完成 执行 时 ， 由 另 一 个 纯 输 入 return 触发 并 返回 到 Inactive 状态 。 请 注意 ， 从 Inactive 到 
Active 状态 的 迁移 是 一 个 抢先 式 迁 移 ， 其 由 迁移 开始 端的 小 圆圈 表示 ， 这 说 明 当 assert HR 
时 应 该 立即 执行 该 迁移 。 同 时 ， 这 也 是 一 个 复位 迁移 ， 表 示 Active 的 状态 精 化 应 该 从 其 初 
始 状态 的 入 口 开始 。 

如 果 我 们 将 图 10-5 和 图 10-6 进行 组 合 ， 就 可 以 得 到 如 图 10-7 所 示 的 分 层 状 态 机 。 注 
意 ，return 信号 现在 既是 输入 又 是 输出 ， 其 是 由 Active 的 状态 精 化 所 产生 的 输出 ， 也 是 到 顶 
层 有 限 状态 机 的 输入 ， 后 者 可 以 触发 到 Inactive 状态 的 迁移 。 具 有 输入 功能 的 输出 为 精 化 状 
态 触发 其 容器 状态 机 中 的 迁移 提供 了 支持 机 制 。 


volatile uint timerCount = 0; 变量 : timerCount: uint 
void ISR(void) { 输入 : assert: pure 
.. Gisable interrupts 输出 : return: pure 
Db—_~ . : an 
Es if(timerCount != 0) { / return 
timerCount--; timerCount := timerCount - 了 


} 
» enable interrupts 
} 
int main(void) { 
// initialization code 
SysTickIntRegister (&ISR) ; 
“~ // other init 
timerCount = 2000; 
while(timerCount != 0) { 
. code to run for 2 seconds 


} 


A— 
B— 


} 
c . whatever comes next 


timerCount := 2000 





timerCount = 0) / 


图 10-5 ”状态 机 模型 以 及 主 程序 (执行 2 秒 事件 处 理 之 后 继续 执行 的 程序 ) 


op ca 





输入 : assert, return: pure 


assert / 
EN 
return / 


int main(void) { — volatile uint timerCount 
// initialization code void ISR(void) { 


SysTickIntRegister (&ISR) ; 

u ¢/ other init 

timerCount = 2000; 

while (timerCount != 0) { } 
. code to run for 2 seconds 
} 


.. disable interrupts 
if(timerCount != 0) { 
timerCount--; 


.. enable interrupts 





图 10-6 ISR 与 主 程序 之 间 交 互 的 状态 机 模型 框图 


变量 : timerCount: uint 
输入 : assert: pure, return: pure 
输出 ; return: pure 





assert / 







Shc 











timerCount + 0 / / return 
timerCount := timerCount — 1 


timerCount := 2000 
timerCount #0 / 








timerCount = (0 / 
timerCount = 0 / return 


图 10-7 ISR 与 主 程序 之 间 交 互 的 分 层 状态 机 模型 


为 了 确定 程序 是 否 到 达 C 状态 ， 可 以 研究 一 下 图 10-8 中 所 示 的 扁平 状态 机 。 仔 细 地 分 
析 这 个 状态 机 可 以 看 出 ， 我 们 并 不 能 保证 C 状态 是 可 以 到 达 的 ! 例如 ， 如 果 在 每 一 个 响应 
上 assert 都 是 存在 的 ，C 状态 就 永远 不 可 达 。 

这 在 实际 中 有 可 能 发 生 吗 ? 对 于 本 程序 而 言 是 不 大 可 能 的 ， 但 也 并 非 完 全 不 可 能 。 如 果 
ISR 本 身 的 执行 时 间 超 过 了 两 次 中 断 的 间隔 时 间 ， 就 会 发 生 这 种 情况 。 那 么 ， 有 没有 什么 方 
法 来 确保 这 类 情形 一 定 不 会 出 现 呢 ? 不 幸 的 是 ,我 们 仅 有 的 保证 仍然 是 一 个 模糊 的 概念 ， 即 
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处 理 器 可 以 运行 得 更 快 。 实 际 上 ， 这 表示 并 没有 任何 保证 。 


变量 : timerCount: uint 


输入 : assert: pure timerCount =0 / 





assert / 










/ 


į timerCount —— i timerCount—— : timerCount—— 


timerCount #0 / 


timerCount #0 / timerCount 天 0 / 


图 10-8 图 10-7 中 分 层 状态 机 的 扁平 图 


在 上 例 中 ,对 主 程序 与 中 断 服务 例 程 的 建 模 暴露 了 程序 的 一 个 潜在 缺陷 。 尽 管 这 个 缺陷 
在 实际 中 不 大 可 能 会 出 现 , 但 是 仅 其 存在 这 一 事实 就 令 人 感到 不 安 。 在 任何 情况 下 ， 了 解 到 
这 一 缺陷 的 存在 且 确 认 其 引发 的 风险 是 可 接受 的 总 比 不 知道 其 存在 要 更 好 一 些 。 

中 断 机 制 可 能 非常 复杂 。 使 用 这 些 机 制 向 外 部 设备 提供 IO 服务 的 软件 被 称 为 设备 驱动 
(device driver)。 设 计 并 开发 正确 的 、 鲁 棒 的 设备 驱动 是 一 项 极 具 挑 战 性 的 工程 任务 ， 这 需 
要 对 体系 结构 有 足够 深入 的 理解 且 要 具有 关于 并 发 性 推理 的 丰富 技巧 。 如 我 们 所 知 ， 计 算 机 
系统 中 的 很 多 故障 都 是 由 设备 驱动 与 其 他 程序 之 间 的 未 知 交 互 所 导致 的 。 


10.3 ”小结 


本 章 回 顾 了 用 于 把 传感器 数据 输入 到 处 理 器 以 及 将 命令 从 处 理 吕 发 送 到 执行 器 的 便 件 和 
软件 机 制 。 本 章 重点 在 于 要 深入 理解 这 些 机 制 背后 隐藏 的 相关 原理 ， 聚 焦 于 将 顺序 软件 世界 
与 并 发 的 物理 世界 之 间 进行 桥接 融合 。 


习题 


1. 类 似 于 示例 10.6, 一 个 Atmel AVR 微 控 制 器 的 C 程序 使 用 UART 接口 将 8 字 节 发 送 到 RS-232 串 行 
接口 ， 代 码 如 下 。 
1 for(i = 0; i < 8; i++) { 
while (! (UCSROA & 0x20)); 
3 UDRO = x[i]; 
4 } 
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假设 处 理 器 运行 频率 为 50MHz ; 初始 时 UART 接口 是 空闲 的 ， 由 此 在 代码 开始 执行 时 ， 
UCSROA & 0x20 == 0x20 WA; 串口 的 波 特 率 为 19,200 Baud. 那么 ， 执 行 上 述 代码 需要 多 少 个 时 
钟 周期 ? 假设 for 语 句 在 3 个 周期 中 执行 (一 个 递增 i， 一 个 将 其 与 8 进行 比较 ， 一 个 执行 条 件 分 
Z); while 语句 在 2 个 周期 内 执行 (一 个 计算 ! CUCSROA & 0x20 )， 另 一 个 执行 条 件 分 支 ) ;， UDRO 
的 赋值 在 一 个 周期 内 执行 。 

2. 图 10-9 给 出 了 一 个 在 Atmel AVR 微 控制 器 上 重复 执行 某 个 函数 3 秒 的 程序 框图 。 通 过 调用 函数 
foo( ) 来 调用 该 函数 。 程 序 以 设置 定时 器 中 断 每 秒 到 来 一 次 开始 (这 里 并 没有 列 出 相关 设置 代码 )。 
中 断 每 次 到 来 时 ， 特 定 的 中 断 服 务 例 程 被 调用 。 该 中 断 服务 例 程 对 计数 器 进行 减 操作 ， 直 至 其 为 0。 
main( ) 函数 将 计数 器 的 值 初始 化 为 3， 之 后 调用 foo( ) 函数 直至 该 计数 器 的 值 为 0。 


#include <avr/interrupt.h> 
volatile uint16 t timer_count = 0; 


// PB RS Bl 
SIGNAL (SIG _OUTPUT_COMPARE1A) { 





i if (timer_count Store e L Rii. 
| timer_count--; A | 

E 
} 





// 主 程序 

int main(void) { 
// 设置 中 断 每 秒 到 来 
// 一 次 


| // 启动 一 个 3 秒 定时 器 B 


timer _count = 3; | 


mi 





// 重复 做 某 些 
// 处 理 3 秒 钟 
while(timer count > 0) { 
foo(); 
} 
} 


图 10-9 通过 重复 调用 foo( ) 函数 执行 某 些 特定 功能 3 秒 的 程序 框图 ， 其 中 使 用 了 一 个 定时 器 
中 断 来 决定 何 时 停止 





(a) 假设 标记 为 A、B 和 C 的 灰色 框 中 的 代码 片段 是 原子 的 ， 请 给 出 使 这 个 假设 成 立 的 条 件 。 

(b) 为 该 程序 构建 一 个 状态 机 模型 ， 与 (a) 中 一 样 假设 A、B、C 都 是 原子 的 。 状 态 机 中 的 迁移 应 
该 被 标记 为 “监督 条 件 / 动作”"， 其 中 动作 可 以 是 A、B、C 中 的 任何 一 个 ， 或 者 为 空 。 动 作 A, 
B 或 者 C 应 分 别 对 应 于 具有 相应 标识 的 灰色 框 中 的 代码 。 在 设计 中 ， 可 以 假设 这 些 动作 都 是 原 
子 的 。 

(c) 所 设计 的 状态 机 是 否 为 确定 性 的 ”其 中 fool) 函数 可 被 调用 的 次 数 是 多 少 ? 模型 所 有 可 能 的 行为 
是 否 与 预期 目标 相 一 致 ? 
请 注意 ， 答 案 可 能 并 不 唯一 ， 可 以 给 出 多 个 模型 。 注 意 ， 简 单 的 模型 比 复杂 的 模型 更 好 ， 完 整 

的 模型 (所 有 方面 都 被 定义 ) 比 非 完 整 的 模型 更 好 。 

3. 以 与 示例 10.8 相似 的 方式 ， 使 用 SysTick 为 ARM Cortex — M3 开发 一 个 C 程序 ， 其 以 快速 的 10ms 
时 间 间 隔 来 调用 一 个 系统 时 钟 ISR， 并 采用 32 位 整 型 数 来 记录 自 系 统 启动 以 来 的 时 间 。 那 么 ， 在 时 
钟 溢 出 之 前 ,程序 可 以 运行 多 长 时 间 ? 

4. 有 一 个 汽车 仪表 板 ， 汽 车 正常 刹车 时 显示 “normal”( 正 常 )， 而 故障 时 显示 “ emergency”( 紧 急 )。 


pn 


160. p= RAAARKIF 


预期 的 行为 是 一 旦 显示 了 “emergency”， 就 不 会 再 显示 “normal”。 也 就 是 说 , “emergency” 23— 
直 保 持 ， 直 至 系统 重新 启动 。 
在 以 下 代码 中 ， 假 设 变量 display 定义 了 要 显示 的 内 容 。 无 论 该 变量 的 值 是 什么 ， 其 都 将 被 显示 在 仪 
表 板 上 。 

1 volatile static uint8_t alerted; 


2 volatile static char» display; 
3 void ISRA() { 


3 

4 if (alerted == 0) { 

5 display = "normal"; 
6 } 

a } 

s void ISRB() { 

9 display = "emergency"; 
10 alerted = 1; 


i af 
2 void main() { 


B alerted = 0; 
14 swe 


1s ... 使 能 中 断 . . 。 
7 } 


假设 ISRA 是 驾驶 员 进 行 刹 车 时 所 调用 的 中 断 服务 例 程 。 如 果 传 感 器 检测 到 刹车 是 在 油门 踏板 

被 踩 下 的 同时 发 生 的 ， 则 会 调用 ISRB。 假 设 没 有 ISR 能 够 中 断 其 自身 的 执行 ， 且 ISRB 较 ISRA 有 
更 高 的 优先 级 。 由 此 ，ISRB 可 以 中 断 ISRA，,， 但 ISRA 不 能 中 断 ISRB。 进 一 步 假 设 (虽然 不 现实 ) 
每 一 行 代码 都 是 原子 的 。 - 
(a) 该 程序 表现 出 的 行为 一 直 都 符合 预期 吗 ?” 请 给 出 解释 。 在 本 题 的 后 续 问 题 中 将 要 构造 不 同 的 模 

型 ,要么 证 明 行 为 是 正确 的 ， 要么 说 明 其 不 正确 的 原因 。 
(b) 构建 ISRA 的 确定 性 扩展 状态 机 模型 ， 假 设 : 

e alerted 是 一 个 类 型 为 {0,1}c uint8_t 的 变量 ; 

e 有 一 个 纯 输入 4， 当 其 为 存在 时 说 明 产 生 了 对 ISRA 的 中 断 请 求 ; 

e display 是 一 个 char* 类 型 的 输出 。 
(c) 给 出 以 上 解决 方案 的 状态 空间 规模 大 小 。 
(d) 请 解释 (b) 中 设计 的 状态 机 在 响应 时 的 假设 。 其 是 时 间 触 发 的 还 是 事件 触发 的 ， 或 者 二 者 都 

不 是 ? 
(e) 对 ISRB 构建 一 个 确定 性 扩展 状态 机 模型 ， 其 有 一 个 纯 输入 了 3， 其 存在 表示 一 个 对 ISRB 的 中 断 
(f) 构造 一 个 扁平 的 ( 非 分 层 的 ) 确定 性 扩展 状态 机 ， 其 描述 了 这 两 个 ISR 的 联合 操作 。 使 用 所 设计 

模型 来 讨论 (a) 中 所 给 答案 的 正确 性 。 
(g) 给 出 一 个 等 价 的 分 层 状态 机 ， 并 使 用 所 设计 模型 来 讨论 (a) 中 所 给 答案 的 正确 性 。 
假设 一 个 处 理 器 以 如 下 有 限 状 态 机 指定 的 方式 来 处 理 中 断 。 

这 里 ， 假 设 一 个 较 示 例 10.12 更 为 复杂 的 中 断 控 制 器 ， 其 支持 多 个 中 断 且 具有 一 个 用 以 确定 哪 

个 中 断 得 到 服务 的 仲裁 器 。 该 状态 机 给 出 了 中 断 的 状态 。 当 一 个 中 断 被 断定 (assert)， 有 限 状态 机 
将 迁移 到 Pending 状态 ， 并 一 直 保 持 直到 仲裁 器 提供 了 一 个 handle 输入 。 在 那 时 ， 有 限 状态 机 迁移 
到 Active 状态 并 产生 一 个 acknowledge 输出 。 如 果 在 Active 状态 时 有 另 一 个 中 断 到 来 ， 其 就 迁移 到 
Active and Pending 状态 。 当 ISR 返回 时 ， 输 入 return 将 会 触发 到 Inactive 状态 或 者 Pending 状态 的 
迁移 ， 这 取决 于 起 始 状态 。 输 入 deassert 允许 外 部 硬件 在 中 断 请 求 得 到 服务 之 前 取消 该 中 断 请 求 。 
请 回答 如 下 问题 。 
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输入 : assert, deassert, handle, return: pure 
输出 : acknowledge 








deassert ^ return / 


handle / acknowledge 


return / 


assert / 






Active 
and 
Pending 











deassert A > return / 
(a) 如 果 状 态 为 Pending HAX return， 那 么 响应 将 是 什么 ? 
(b) 如 果 状 态 为 Active 且 输 入 为 assert A deassert， 那 么 响应 会 是 什么 ? 
(e) 假设 状态 是 Inactive 且 三 个 连续 响应 的 输入 序列 如 下 : 
i. assert 
ii. deassert 人 handle 
iii. return 
那么 ， 在 对 这 些 输入 进行 响应 之 后 ， 所 有 可 能 的 状态 是 什么 ?该 中 断 是 否 得 到 处 理 ? 
(d) 假设 一 个 输入 序列 从 来 不 包括 deassert， 那 么 ,“ 每 个 输入 assert 都 会 引起 一 个 acknowledge 输 
出 ”是 和 否 为 真 ? 换 名 话说， 是否 每 个 中 断 请 求 都 会 得 到 服务 ”如 果 是 ， 请 给 出 证 明 。 如 果 不 是 ， 
请 给 出 一 个 反例 。 
6. 假设 要 设计 这 样 一 个 处 理 器 ， 即 其 支持 两 个 逻辑 类 似 习 题 5 中 有 限 状 态 机 的 中 断 。 设 计 一 个 具有 仲 
裁 器 逻辑 的 有 限 状 态 机 ， 其 可 以 为 两 个 中 断 中 的 一 个 赋予 更 高 的 优先 级 。 输 入 应 该 是 如 下 所 示 的 纯 
assertl, return\, assert2, return2 
其 分 别 表 示 中 断 1 和 中 断 2 的 请 求 与 返回 。 输 出 为 纯 信 号 handle! 和 handle2, Bik assert 输入 是 由 
类 似 于 习题 5 中 的 两 个 状态 机 所 生成 的 ， 能 否 确定 仲裁 器 将 会 处 理 每 一 个 请 求 ? 请 给 出 证 明 。 
7. 如 下 代码 监测 两 个 传感器 ，sensorl 和 sensor2 这 两 个 变量 存储 从 传感器 读 出 的 数据 。 实 际 的 读 操作 
是 由 函数 readSensorl( ) 和 readSensor2( ) 分 别 完成 的 ， 且 这 两 个 函数 都 在 中 断 服务 例 程 ISR 中 被 


char flag = 0; 


1 

2 volatile char+ display; 

3 volatile short sensorl, sensor2; 
4 

s void ISR() { 

6 if (flag) { 

7 sensorl = readSensorl(); 

8 } else { 

9 sensor2 = readSensor2 (); 


10 } 


m 3 


3 int main() I 
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14 // oee REPH..- 
15 // .。。 使 能 中 断 .-- 


16 while(1) { 

17 if (flag) { 

18 if isFaulty2(sensor2) { 

19 display = "Sensor2 Faulty"; 
20 } 

21 } else { 

22 if isFaultyl(sensorl) { 

23 display = "Sensorl Faulty"; 
24 } 

25 } 

26 flag = !flag; 

27 } 


28 } 


PK% isFaulty1( ) 与 isFaulty2( ) 分 别 检查 两 个 传感器 读数 ， 如 果 有 问题 返回 1， 否则 返 
回 0。 假 设 变 量 display 定义 了 要 在 屏幕 上 警告 操作 人 员 的 错误 内 容 ， 同 时 假设 仅 在 main K 
数 体 中 修改 flag。 请 回答 以 下 问题 。 
(a) 当 main 函数 在 检查 sensorl 是 否 有 错误 时 ，ISR 有 可 能 更 新 sensor! 的 值 吗 ? 请 说 明 原 因 。 
(b) 假设 发 生 虚 假 错 误 ， 引 起 测量 中 的 sensorl 或 sensor2 错误 ， 那 么 ， 这 段 代码 是 否 可 能 不 报告 
“Sensorl Faulty”(Sensorl 错误 ) 或 者 “Sensor2 Faulty” (Sensor2 错误 ) ? 
(c) 假设 ISR 的 中 断 源 是 定时 器 驱动 的 ， 什 么 条 件 将 会 使 得 这 段 代 码 从 不 检测 这 些 传 感 器 是 否 出 现 
了 错误 ? 
(d) 假设 不 是 中 断 驱动 ， 而 是 让 ISR 和 main 分 别 在 各 自 的 线程 中 且 并 发 地 执行 。 假 设 有 一 个 微 内 
核 ， 其 支持 在 任何 时 刻 中 断 任 何 线程 ， 并 可 以 切换 上 下 文 来 执行 另 一 个 线程 。 在 这 一 情形 下 ， 
当 main 函数 检查 sensorl 是 否 有 错误 时 ISR 是 否 可 以 更 新 sensorl 的 值 ? 请 说 明 原 因 。 
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本 章 将 讨论 在 软件 中 用 于 支持 顺序 代码 并 发 执行 的 中 间 层 机 制 。 同 时 执行 多 个 顺序 程序 
的 原因 有 很 多 ， 但 都 涉及 时 间 问 题 。 其 中 一 个 原因 是 ， 通 过 避免 长 时 间 执 行 的 程序 对 响应 外 
部 激励 (如 传感器 数据 或 用 户 请 求 ) 的 程序 的 阻塞 等 情形 可 提高 系统 的 响应 能 力 。 提 升 啊 应 
能 力 可 以 减少 延迟 (latency)， 即 从 激励 出 现 到 响应 的 时 间 。 男 一 个 原因 是 ,通过 让 程序 在 
多 个 处 理 器 或 多 核 上 同时 运行 可 以 提升 性 能 。 这 实际 上 也 是 一 个 时 间 问 题 ， 因 为 其 认为 较 早 
地 完成 任务 总 是 更 好 的 。 第 三 个 原因 是 能 够 直接 控制 外 部 交互 的 时 序 。 一 个 程序 可 能 需要 在 
特定 的 时 间 来 执行 某 些 动作 ， 如 刷新 显示 等 ， 而 不 关心 其 他 程序 在 该 时 间 的 执行 情况 。 

我 们 已 经 在 不 同 的 语 境 中 讨论 过 并 发 性 。 图 
11-1 给 出 了 本 章 主题 与 其 他 章节 内 容 之 间 的 关系 。 
第 8 章 和 第 10 章 涵盖 了 图 11-1 中 的 底层 机 制 ， 其 
主要 益 述 了 硬件 如 何 为 软件 设计 人 员 提 供 并 发 机 
制 。 第 5 章 和 第 6 章 包 含 了 最 高 层 内 容 ， 其 给 出 了 
一 组 并 发 的 抽象 模型 ， 包 括 同步 组 合 、 数 据 流 、 时 
间 触 发 模型 等 。 本 章 则 是 这 两 层 机 制 之 间 的 桥梁 ， 
主要 阐述 了 使 用 底层 机 制 所 实现 的 一 些 机 制 ， 以 及 处 理 器 
为 实现 高 层 机 制 可 以 提供 的 基础 设施 。 综 合 而 言 ， 中 断 、 流 水 线 、 多 核 竺 
中 间 层 的 这 些 技术 被 统称 为 多 任务 机 制 multit- i 
asking)， 这 意味 着 多 个 任务 的 同时 执行 。 OR, T PETEERE 

嵌入 式 系 统 设计 人 员 常 常 直接 使 用 这 些 中 间 层 机 制 来 构建 应 用 ， 但 是 对 于 高 级 设计 人 员 
而 言 ， 反 而 正 越 来 越 多 地 使 用 高 层 机 制 。 这 些 设计 人 员 使 用 支持 一 种 (或 多 种 ) 计算 模型 的 
软件 工具 来 构建 模型 。 之 后 ， 该 模型 被 自动 或 者 半自动 地 翻译 为 使 用 中 间 层 或 底层 机 制 的 程 
序 ， 相 应 的 这 个 翻译 过 程 被 称 为 代码 生成 (code generation) 或 者 自动 编码 (autocoding ) 。 

本 章 曾 述 的 机 制 通常 是 由 操作 系统 、 微 内 核 (microkernel) 或 者 程序 库 所 提供 。 正 确 地 
实现 这 些 机 制 可 能 会 非常 有 难度 (存在 一 些 陷阱 ， 参 见 Boehm ( 2005 ))， 因 此 应 该 由 专业 人 
十 来 完成 。 然 而 ， 构 入 式 系 统 应 用 程序 开发 人 员 经 常 发 现 自己 必须 在 裸 机 (无 操作 系统 的 处 
理 器 ) 上 实现 这 些 机 制 ， 要 正确 地 实现 这 些 机 制 就 需要 对 并 发 机 制 有 深入 的 理解 。 

本 章 从 顺序 化 程序 模型 的 简要 描述 开始 ， 这 使 得 建立 这 些 顺序 程序 的 并 发 组 合 模型 成 为 
可 能 。 之 后 ， 我 们 继续 讨论 线程 、 进 程 和 消息 传递 ， 这 是 顺序 程序 的 三 种 组 合 形式 。 


11.1 命令 式 程序 


将 计算 表示 为 操作 序列 的 编程 语言 被 称 为 命令 式 语言 ，C 语言 就 是 一 种 命令 式 语 言 。 如 
图 11-2 所 示 。 
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#include <stdlib.h> 
#include <stdio.h> 
int x; // 被 更 新 的 变量 
typedef void notifyProcedure(int); // 通知 函数 的 类 型 
struct element { 
notifyProcedure+ listener; // 指向 通知 函数 的 指针 
struct element* next; // 指向 下 一 元 素 的 指针 


}; 

typedef struct element element 七 ; // 链表 元 素 的 类 型 
element_tx head = 0; Z/ 链表 的 开始 指针 
element_t* tail = 0; // 链表 的 结尾 指针 


ee S e 


// 增加 一 个 listener 的 函数 
void addListener (notifyProcedure* listener) { 
if (head == 0) 1 
head = malloc (sizeof (element_t) ); 
head->listener = listener; 
head->next = 0; 
tail = head; 
else { 
tail-—>next = malloc (sizeof (element_t) ); 
tail = tail->next; 
tail->listener = listener; 
tail->next = 0; 
} 
} 
// 更 新 X 的 函数 
void update(int newx) { 
newx; 
// 通知 所 有 listener 
element_t* element = head; 
while (element != 0) { 
(+ (element-—>listener) ) (newx); 
element = element->next; 
} 
} 
// 通知 函数 的 例子 
void print(int arg) { 
printf£("td ", arg); 
} 





图 11-2 本章 多 个 示例 中 使 用 的 C 程序 


ARD 本 章 将 基于 如 图 11-2 所 示 的 C 程序 来 说 明 一 组 关键 问题 。 该 程序 实现 了 一 
个 被 称 为 观察 者 模式 (observer pattern) 的 常用 设计 模式 (Gamma et al.，1994 )。 该 模式 中 ， 
update 函数 修改 变量 x 的 值 。 无 论 何 时 ， 只 要 x 被 一 个 回调 函数 (callback procedure) 所 改 
Z, 观察 者 (其 他 程序 或 程序 的 其 他 部 分 ) 就 会 被 通知 。 例 如 ， 观 察 者 可 能 将 x 的 值 显示 在 
屏幕 上 。 无 论 何 时 该 值 改变 ,观察 者 都 要 被 通知 以 便 刷 新 屏幕 上 的 显示 。 以 下 main 函数 使 
用 了 图 11-2 中 定义 的 函数 。 


1 int main(void) { 

2 addListener (&print) ; 
3 addListener (&print) ; 
4 update (1); 

5 addListener (&print) ; 
6 update (2) ; 

7 return 0; 

8 
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这 个 测试 程序 先 把 print 函数 两 次 注册 为 回调 函数 ， 之 后 执行 一 个 更 新 (设置 x=1 )， 接 
下 来 再 次 注册 print 函数 ， 最 后 执行 男 一 次 更 新 (设置 x=2 )。print 函数 只 是 简单 地 打印 x 的 
当前 值 ， 那 么 ， 该 测试 程序 执行 时 就 会 输出 “1 122 2”。 


C 程序 指定 了 一 系列 执行 步骤 ， 每 个 步骤 都 会 改变 处 理 机 的 内 存 状态 。 在 C 语言 中 ， 处 
理 机 的 内 存 状态 是 由 变量 的 值 来 表示 的 。 


在 图 11-2 所 给 出 的 程序 中 ,处理 机 的 内 存 状态 包括 了 全 局 变量 x 的 值 以 及 
由 全 局 变量 head 所 指向 的 一 列 元 素 。 这 一 列 元 素 被 表示 为 一 个 链表 (linked list)， 链 表 中 的 
每 一 个 元 素 都 包含 一 个 x 改变 时 所 要 调用 函数 的 函数 指针 。 
在 C 程序 执行 过 程 中 ， 处 理 机 的 内 存 状态 同样 还 需要 包含 栈 的 状态 ， 其 包括 了 任何 的 
局 部 变量 。 


采用 扩展 状态 机 ， 我 们 就 能 够 对 特定 C 程序 的 执行 进行 建 模 ， 这 里 假设 程序 具有 固定 
的 、 数 量 有 限 的 变量 。C 程序 的 变量 将 是 状态 机 的 变量 。 状 态 机 的 状态 代表 了 程序 中 的 位 置 ， 
迁移 则 代表 程序 的 执行 。 


A 四 11-3 给 出 了 图 11-2 中 update 函数 的 模型 。 当 update 函数 被 调用 ， 状 态 
机 从 初始 的 Ide 状态 迁移 。 这 个 调用 是 由 存在 的 输入 arg 来 通知 的 ， 它 的 值 将 是 update A 
KW int 型 参数 。 当 执行 这 个 迁移 时 ， 栈 中 的 newx 将 被 赋予 该 参数 的 值 ， 同 时 ， 全 局 变量 x 
将 被 更 新 。 

在 第 一 个 迁移 之 后 ,状态 机 处 于 输入 : arg: int, returnFromListener: pure 
31 状态 ， 恰 好 对 应 于 图 11-2 中 第 31 输出 : retum: pure 
fk mam RR. 2 MMe dr cen 
后 ， 其 无 条 件 地 转移 到 状态 32 并 设 
E element} fi. EK A 32 A AA 
可 能 : wR element=0, 状态 机 转移 
El Idle 状态 且 生 成 纯 输 出 return, & 
则 ， 其 转移 到 状态 33。 element =0 / return 

在 状态 33 到 34 的 迁移 上 ， 执 
行 的 动作 是 监听 器 listener 的 函数 调 element £0 / 
用 ， 其 参数 为 栈 变 量 new AKA 
34 回 到 32 的 迁移 发 生 在 接收 到 纯 输 


arg Í 
newx := arg; X := newx 







true / 
element := head 


returnFromListener / 
element := element—>next 


rx 信 号 returnFromListener 时 , 该 信 true | (* (element->listener) ) (newx) 
号 表示 listener 函数 返回 。 图 11-3 图 11-2 中 update 函数 的 模型 


图 11-3 的 模型 并 不 只 是 我 们 可 以 构造 的 update 函数 的 唯一 模型 。 在 构建 这 样 一 个 模型 
的 过 程 中 ， 我 们 需要 确定 细节 等 级 ， 且 需要 确定 哪些 动作 可 以 被 作为 原子 操作 来 安全 地 处 
理 。 图 11-3 使 用 了 代码 行 级 别 的 细节 等 级 ， 但 并 不 能 保证 每 行 C 代码 都 是 原子 执行 的 (其 
通常 都 不 是 )。 

另外 ，C 程序 的 精确 模型 通常 并 不 是 有 限 状 态 系统 。 仅 以 图 11-2 中 的 代码 为 例 ， 有 限 状 
态 机 模型 是 不 适用 的 ， 因 为 该 代码 允许 将 任意 数量 的 监听 器 添加 到 链表 中 。 如 果 我 们 将 图 11-2 
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与 示例 11.1 中 的 main 函数 相 结合 ， 此 时 链表 中 只 会 添加 三 个 监听 器 ， 该 系统 就 是 有 限 状 态 
的 。 因 此 ,一 个 精确 的 有 限 状态 模型 需要 涵盖 完整 的 程序 ， 这 使 得 代码 的 模块 化 推理 非常 困难 . 

当 在 这 个 混合 体 上 青 增加 并 发 性 时 ， 问 题 就 会 变 得 更 糟 。 在 本 章 我 们 将 说 明 ， 对 具有 线 
程 等 中 间 层 并 发 机 制 的 程序 进行 精确 推理 是 极为 困难 且 容 易 出 错 的 。 正 是 基于 这 个 原因 ， 设 
计 人 员 更 倾向 于 使 用 图 11-1 中 的 上 层 机 制 。 


C 中 的 链表 
链表 (linked list) 是 在 程序 运行 过 程 中 用 于 以 动态 长 度 存 储 元 素 列表 的 数据 结构 。 
表 中 的 每 个 元 素 包 含 了 一 个 有 效 载荷 (payload， 即 该 元 素 的 值 ) 以 及 指向 链表 中 下 一 个 
元 素 的 指针 (该 元 素 为 最 后 一 个 时 则 是 空 指针 )。 对 于 图 11-2 中 的 程序 ， 该 链表 数据 结 
构 可 定义 为 如 下 形式 ， 
typedef void notifyProcedure (int); 
struct element { 


notifyProcedurex listener; 
struct elements next; 


typedef struct element element_t; 
element_t* head = 0; 


1 
2 
3 
4 
5 } 
6 
7 
8 element_t* tail = 0; 


第 1 行将 notifyProcedure 声明 为 一 个 类 型 ， 其 值 是 一 个 具有 int 型 参数 且 无 返回 值 


的 C 函数 。 第 2 一 5 行 声明 了 一 个 结构 ， 即 C 语言 中 的 一 个 组 合 数据 类 型 。 该 结构 包括 
THB, listener (类 型 为 指向 C 函数 的 函数 指针 notifyProcedure*) 和 next (指向 相同 
结构 实例 的 指针 )。 第 6 行 声 明 element t 24] A element 结构 实例 的 类 型 。 

第 7 行 声明 了 指向 链表 元 素 的 指针 head。 其 初 值 为 0 时， 表示 链表 为 空 。 图 11-2 
中 的 AddListener 函数 使 用 以 下 代码 创建 了 第 一 个 链表 元 素 。 


1 head = malloc (sizeof (element_t) ); 
2 head->listener = listener; 

3 head->next = 0; 

4 tail = head; 


第 1 行使 用 malloc 函数 从 堆 上 分 配 内 存 来 存储 一 个 链表 元 素 ， 并 设置 head 指针 指 
向 该 元 素 。 第 2 行 设置 该 元 素 的 值 ， 第 3 行 表 明 这 是 最 后 一 个 元 素 ， 第 4 行 设置 指向 链 
表 末 尾 元 素 的 tail 指针 。 当 链表 不 为 空 时 ，addListener 函数 将 使 用 tail 指针 而 不 是 head 
间 针 向 链表 中 添加 元 素 。 





11.2 ”线程 

线程 是 共享 内 存 空 间 且 并 发 运行 的 一 组 命令 式 程序 ， 线 程 之 间 可 以 互相 访问 对 方 的 变 
量 。 本 领域 的 很 多 从 业者 常常 会 狭义 地 用 “线程 ”这 一 术语 来 指 代 构建 共享 内 存 的 程序 的 特 
定 方式 , 但 是 在 这 里 ,我们 将 使 用 该 术语 来 广泛 地 指 代 命 令 式 程序 并 行 运 行 和 共享 内 存 的 任 
何 机 制 。 在 这 一 更 为 宽泛 的 含义 上 ， 几 乎 在 所 有 微 处 理 器 中 线程 首先 是 以 中 断 的 形式 存在 
的 ， 即 使 系统 中 根本 不 存在 任何 操作 系统 ( 即 裸 机 )。 


11.2.1 创建 线程 
大 多 数 操作 系统 都 提供 了 较 中 断 更 为 高 级 的 机 制 来 实现 共享 内 存 的 命令 式 程序 ， 该 机 
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制 以 程序 员 可 用 的 函数 集 形式 提供 。 这 样 的 函数 通常 是 标准 的 API ( Application Program 
Interface， 应 用 程序 接口 )， 这 使 得 编写 可 移植 程序 (这些 程序 将 运行 在 多 种 处 理 器 和 /或 多 
个 操作 系统 上 ) 成 为 可 能 。POSIX 线程 (Pthread) 就 是 这 样 的 一 套 API， 其 已 被 集成 于 多 数 
现代 操作 系统 中 。1988 年 ，IEEE 为 统一 不 同 的 UNIX 版 本 而 制定 了 这 一 标准 。POSIX 线程 
定义 了 一 套 C 编程 语言 的 类 型 、 函 数 以 及 常量 。 在 POSIX 线程 中 ， 线 程 被 定义 为 一 个 C R 
数 ， 且 要 通过 调用 pthread create 函数 来 创建 这 一 线程 。 


< 下 里 于 > 日 114 牛 给 出 了 一 个 使 用 POSIX 线程 的 简单 多 线程 C 程序 。printN 函数 
(第 3 一 9 行 ) 是 线程 开始 执行 的 函数 ， 被 称 为 启动 例 程 (start routine)。 从 功能 上 ， 启 动 例 
程 会 将 传递 给 它 的 参数 打印 10 次 ， 之 后 退出 并 结束 线程 。main 函数 创建 两 个 线程 ， 每 一 个 
都 将 执行 这 个 启动 例 程 。 第 14 行 创建 的 第 一 个 线程 将 打印 值 1， 第 15 行 创建 第 二 个 线程 ， 
其 打印 值 2。 当 该 程序 运行 时 ， 值 1 和 2 将 以 依赖 于 线程 调度 过 程 的 某 种 交替 顺序 打印 出 
来 。 通 常 ， 重 复 运行 将 产生 值 1 和 2 交替 的 不 同 序列 。 

pthread create 函数 创建 一 个 线程 并 立即 返回 。 在 该 函数 返回 时 ， 启 动 例 程 可 能 已 经 启 
动 运行 ， 也 可 能 还 没有 启动 运行 。 第 17 和 18 行 代码 使 用 pthread join 来 确保 在 这 两 个 线程 
结束 之 前 ， 主 程序 不 会 结束 。 如 果 没 有 这 两 行 代码 ， 程 序 可 能 根本 不 会 产生 来 自 这 些 线程 的 
任何 输出 。 


启动 例 程 可 能 有 返回 也 可 能 没有 返回 。 在 符 入 式 应 用 中 ， 定 义 无 返 回 的 启动 例 程 是 司空 
见 惯 的 。 例 如 ， 启 动 例 程 可 以 无 限 执行 并 周期 性 地 刷新 显示 。 如 果 启 动 例 程 没 有 返回 ， 其 他 
调用 它 的 pthread join 都 将 会 被 无 限期 地 阻塞 。 

如 图 11-4 所 示 ， 启 动 例 程 具有 一 个 参数 并 提供 一 个 返回 值 。pthread_create 的 第 四 个 参 
数 是 传递 给 启动 例 程 的 参数 地 址 。 那 么 ， 掌 握 9.3.5 节 中 的 C 程序 内 存 模型 或 者 是 下 例 所 示 
的 一 些 可 能 出 现 的 错误 ， 就 非常 的 重要 了 。 


#include <pthread.h> 

2 #include <stdio.h> 

3 void» printN(void* arg) { 
ant i; 
for (i = 0; i < 10; i++) 1 

printf (My ID: %d\n, *(int«)arg); 

} 
return NULL; 


main(void) { 

pthread_t threadID1, threadID2; 

voids exitStatus; 

ant xl = 1, %2 = 2; 

pthread_create(&threadID1, NULL, printN, &xl); 
pthread_create(&threadID2, NULL, printN, &x2); 
printf ("Started threads.\n"); 
pthread_join(threadID1, &exitStatus) ; 
pthread_join(threadID2, &exitStatus) ; 

return 0; 





图 11-4 使 用 POSIX 线程 的 简单 多 线程 C 程序 


O 为 了 简洁 起 见 ， 本 书 的 示例 中 都 不 检查 失败 ， 但 任何 使 用 POSIX 线程 高 质量 编写 的 程序 都 应 做 此 检查 。 例 
如 ，pthread_create 在 成 功 时 返回 0 值 ， 在 失败 时 返回 一 个 非 零 值 。 在 系统 资源 不 足 时 创建 线程 就 会 失败 ， 所 以 
任何 使 用 pthread_create 的 程序 都 应 该 检查 这 些 失败 并 对 其 进行 某 种 处 理 。 具 体 参见 POSIX 线程 的 技术 文档 。 
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D 假设 以 下 代码 是 在 一 个 函数 中 尝试 创建 一 个 线程。 
1 pthread_t createThread(int x) { 

2 pthread_t ID; 

3 pthread_create(&ID, NULL, printN, &x); 

4 return ID; 

5 


} 
因为 传递 给 启动 合 程 的 参数 是 由 指向 栈 中 变量 的 指针 所 给 出 的 ， 因 此 这 段 代 码 不 正确 。 
在 线程 访问 特定 内 存 地 址 时 ，createThread 函数 可 能 已 经 返回 ， 且 该 内 存 地 址 可 能 已 经 被 栈 
的 后 续 操作 所 重 写 。 








11.2.2 ”实现 线程 


调度 器 (scheduler) 是 实现 线程 的 核心 机 制 ， 在 处 理 器 的 状态 变 为 可 用 于 执行 下 一 个 线 
程 时 ， 其 决策 出 将 要 执行 的 线程 。 这 个 决策 可 能 是 基于 公平 性 (fairness) 的 ， 其 根据 时 间 约 
束 、 某 些 重要 程度 或 者 优先 级 ， 为 每 个 活跃 的 线程 提供 同等 的 运行 机 会 。 本 节 简 要 地 阐述 一 
个 线程 调度 器 将 如 何 工 作 ， 而 不 用 过 度 关心 其 如 何 选择 要 执行 的 线程 (调度 算法 将 在 第 12 
章 详细 讨论 )。 

第 一 个 关键 问题 是 在 何 时 以 及 如 何 调用 调度 器 。 在 一 种 称 为 协作 式 多 任务 (cooperative 
multitasking) 的 简单 技术 中 ， 线 程 的 执行 不 会 被 中 断 ， 直 到 线程 本 身 调用 一 个 特定 的 函数 或 
者 一 组 特定 函数 中 的 某 一 个 。 例 如 ， 在 当前 执行 的 线程 调用 任何 操作 系统 服务 时 ， 调 度 各 就 
可 以 进行 干预 。 需 要 说 明 的 是 ， 操 作 系 统 服 务 是 通过 库 函 数 调用 来 访问 的 。 每 个 线程 拥有 自 
己 的 栈 ， 而 且 当 该 库 函 数 被 调用 时 ， 其 返回 地 址 会 被 压 人 栈 中 。 如 果 调 度 器 确定 当前 执行 的 
线程 应 该 继续 ， 那 么 这 个 被 请 求 的 服务 执行 完成 后 函数 正常 返回 。 反 之 ， 如 果 调 度 器 确定 该 
线程 应 被 挂 起 (suspended) 而 选择 男 一 个 线程 来 执行 ， 那么 调度 器 并 不 返回 ， 而 是 对 正在 执 
行 线程 的 栈 指针 进行 记录 ， 并 修改 栈 指针 指向 所 选中 线程 的 栈 。 然 后 ， 通 过 从 栈 中 弹出 返回 
地 址 并 恢复 执行 以 实现 从 调度 器 的 返回 。 注 意 ， 现 在 系统 将 返回 到 一 个 新 的 线程 。 

协作 式 多 任务 调度 的 最 大 问题 是 一 个 程序 可 能 运行 很 长 一 段 时 间 而 并 不 调用 系统 服务 ， 
这 样 一 来 其 他 线程 将 会 处 于 饥饿 状态 (starved)。 为 了 消除 这 个 问题 ， 大 多 数 操作 系统 中 都 
包括 了 一 个 以 固定 时 间 间 隔 和 运行 的 中 断 服务 例 程 。 该 例 程 维护 一 个 系统 时 钟 (system clock), 
从 而 为 应 用 程序 设计 人 员 提 供 一 种 获取 当前 时 间 的 方式 ， 同 时 其 使 能 了 基于 定时 器 中 断 的 周 
期 性 调度 器 执行 。 对 于 具有 系统 时 钟 的 操作 系统 ， 系 统 时 钟 ISR 被 调用 的 时 间 间 隔 常 被 称 为 
一 个 jiffy (即时 钟 周期 o 


示例 11.6 。 在 Linux 不 同 版 本 中 ，jiffy 的 值 通常 在 Ims 到 10ms 之 间 。 


通过 平衡 性 能 问题 和 所 要 求 的 定时 精度 就 可 以 确定 jiffy 的 值 。 一 个 较 小 的 jiffy 值 表示 
调度 功能 会 被 更 频繁 地 执行 ， 这 可 能 会 降低 总 体系 统 性 能 。 一 个 较 大 的 jiffy 值 意味 着 系统 
时 钟 的 精度 降低 ， 且 任务 切换 出 现 得 更 少 ， 可 能 导致 实时 性 约束 被 破坏 。 有 时 ，jiffy 间隔 是 
由 应 用 决定 的 。 


UD 游戏 控制 台 通常 会 使 用 与 目标 电视 系统 帧 速率 同步 的 jiffy 值 ， 因 为 该 类 
系统 的 主要 时 间作 关 任务 会 以 这 一 帧 速率 来 生成 图 形 。 例 如 ，NTSCS 是 曾经 应 用 于 美洲 大 


© National Television System Committee， 美 国 国家 电视 系统 委员 会 ， 这 里 是 指 一 个 电视 制式 标准 。 一 一 译 者 注 
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部 分 地 区 、 日 本 、 韩 国 、 中 国 台 湾 以 及 其 他 一 些 地 区 的 模拟 电视 系统 。NTSC 的 帧 速率 为 
59.94Hz， 因 此 ， 一 个 适合 的 jiffy 值 应 该 是 1/59.94 或 者 16.68ms。PAL (Phase Alternating 
Line, MARAT) 电视 标准 主要 用 于 欧洲 以 及 世界 上 的 其 他 地 区 ， 该 标准 的 帧 速率 是 
50Hz， 相 应 jiffy 值 为 20ms。 

模拟 电视 日 益 被 ATSC9 等 数字 格式 所 替代 。ATSC 支持 从 略 低 于 24Hz 到 60Hz 范围 的 
多 个 帧 速率 以 及 多 种 分 辨 率 。 对 于 符合 标准 的 电视 机 ， 游 戏 控制 台 设 计 人 员 可 以 选择 符合 成 
本 与 质量 期 望 的 帧 速率 和 分 辩 率 。 


除了 周期 性 中 断 以 及 操作 系统 服务 调用 .调度 器 也 可 能 在 一 个 线程 因为 某 种 原因 被 阻塞 
时 调用 。 随 后 将 对 其 进行 讨论 。 
11.2.3 BR 


一 个 线程 在 其 任何 两 个 原子 操作 之 间 都 有 可 能 被 挂 起 ， 转 而 执行 男 一 个 线程 和 /或 中 断 
服务 例 程 。 这 种 情况 使 得 对 线程 间 交 互 的 分 析 变 得 极为 困难 。 


GRIER HS 11-2 中 的 如 下 函数 。 


14 void addListener (notifyProcedure* listener) { 
15 if (head == 0) { 


16 head = malloc (sizeof (element_t) ); 

17 head->listener = listener; 

18 head->next = 0; 

19 tail =-head; 

20 } else { 

21 tail-—>next = malloc (sizeof (element_t)); 
tail = tail->next; 
tail->listener = listener; 


tail-—>next = 0; 
} 


mp we YN 
ue wD 


2 } 

假设 addListener 函数 会 被 多 个 线程 调用 ， 那 么 ， 这 可 能 引起 什么 错误 呢 ? 首先 ， 两 个 
线程 可 能 会 同时 修改 同一 个 链表 数据 结构 ， 这 容易 导致 数据 结构 被 破坏 。 例 如 ， 一 个 线程 在 
执行 第 23 行 之 前 被 挂 起 。 当 第 一 个 线程 从 第 23 行 恢复 执行 时 ，tail 的 值 已 经 被 修改 ， 不 再 
是 该 线程 之 前 在 第 22 行 设置 的 值 ! 仔细 分 析 就 可 以 看 出 ， 这 会 导致 形成 一 个 这 样 的 链表 ， 
其 倒数 第 二 个 元 素 是 listener 指向 的 一 个 随机 地 址 (无论 malloc 分 配 的 内 存 中 是 什么 值 )， 而 
且 第 二 个 添加 到 链表 的 listener 不 再 在 链表 中 8。 当 update 函数 被 调用 时 ， 其 将 尝试 在 一 个 随 
机 地 址 上 执行 该 函数 ， 这 可 能 引起 段 错 误 ， 或 者 更 为 糟糕 地 执行 随机 内 存 地 址 的 内 容 ， 就 好 
像 它们 真 的 是 指令 一 样 。 


上 例 中 举证 说 明 的 这 一 问题 被 称 为 竟 态 条 件 (race condition )。 两 个 并 发 的 代码 段 竞 争 
访问 同一 个 资源 ， 且 它们 的 访问 顺序 会 影响 程序 的 执行 结果 。 某 些 竞争 的 结果 可 能 导致 灾难 
性 的 错误 ， 然 而 也 并 非 所 有 的 竞 态 条 件 都 会 像 上 例 所 示 的 那样 糟糕 。 防 止 这 一 灾难 的 一 种 方 
式 是 使 用 互 斥 锁 (mutual exclusion lock， 或 者 mutex)， 可 结合 以 下 示例 进行 分 析 。 


© Advanced Television System Committee， 先 进 电视 系统 委员 会 ， 这 里 是 指 一 个 电视 制式 标准 。 一 一 译 者 注 
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AIRED 在 POSIX 线程 中 ， 互 斥 锁 是 通过 创建 一 个 pthread_mutex_t 的 实例 来 实现 
的 。 例 如 ， 可 以 将 addListener 函数 修改 为 如 下 形式 。 

pthread_mutex_t lock = PTHREAD_MUTEX_INITIALIZER; 

void addListener (notifyProcedure* listener) { 
pthread_mutex_lock (&lock) ; 
if (head == 0) { 
} else { 
} 


pthread_mutex_unlock (&lock) ; 
} 


第 1 行 创 建 并 初始 化 了 一 个 全 局 变量 lock。addListener 函数 中 的 第 1 行 获 取 (acquire) 
这 个 锁 。 基 本 原则 是 ， 每 一 时 刻 只 允许 有 一 个 线程 能 够 持 有 (hold) 这 个 锁 。 如 果 该 锁 被 占 
Jl, pthread mutex lock 函数 将 会 阻塞 ， 直 至 调用 线程 可 以 获得 这 个 锁 。 

在 上 述 代 码 中 ， 当 addListener 被 线程 调用 且 开 始 执行 时 ，pthread mutex lock 函数 会 
阻塞 等 待 ， 直 至 没有 其 他 线程 特有 该 锁 。 一 旦 该 函数 返回 ， 调 用 者 线程 将 持 有 锁 。 最 后 的 
pthread_mutex_unlock 函数 调用 用 以 释放 (release) 锁 。 在 多 线程 程序 设计 中 ， 不 能 成 功 地 
释放 一 个 锁 将 会 是 非常 严重 的 错误 。 


互 斥 锁 可 以 防止 任何 两 个 线程 同时 访问 或 修改 一 个 共享 资源 。lock 和 unlock 之 间 的 代 
码 被 称 为 临界 区 (critical section)。 在 任何 时 间 ， 仅 有 一 个 线程 可 以 执行 该 类 临界 区 中 的 代 
码 。 程 序 员 可 能 需要 确保 所 有 对 共享 资源 的 访问 都 被 用 这 些 锁 同 样 地 保护 起 来 。 


ARED 图 11-2 中 的 update 函数 并 不 修改 listener 链表 ， 而 是 读 取 这 个 链表 。 假 设 
线程 4 调用 addListener 并 刚好 在 第 21 行 如 下 语句 之 后 挂 起 。 


21 tail->next = malloc (sizeof (element t+)); 

假设 4 被 挂 起 ， 另 一 个 线程 召 调 用 update 函数 ， 其 具有 如 下 代码 。 
31 element tx element = head; 

32 while (element != 0) { 

33 (* (element-—>listener) ) (newx) ; 

34 element = element—>next; 


35 } 


当 element == tail 一 >next it, #3377 H KAT AMR? LH, RABH 217 
malloc 代码 返回 的 内 存 中 的 随机 值 当 作 一 个 函数 指针 ， 并 尝试 执行 该 指针 指向 的 函数 。 这 将 
再 一 次 引起 段 错误 或 者 更 为 糟糕 的 错误 。 

示例 11.9 中 增加 的 互 斥 机 制 不 足以 预防 这 一 错误 ， 互 斥 并 不 能 防止 线程 4 被 挂 起 。 因 
此 ， 就 需要 使 用 互 斥 锁 来 保护 对 该 数据 结构 的 所 有 访问 。 例 如 ， 可 以 将 update 代码 修改 为 
如 下 形式 。 


void update (int newx) { 
x = newx; 
// 通知 所 有 listener 
pthread_mutex_lock (&lock) ; 
element_t* element = head; 
while (element != 0) { 
(* (element—>listener) ) (newx) ; 
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element = element->next; 
} 
pthread_mutex_unlock (&lock) ; 


} 
这 将 能 防止 Update 函数 读 取 正 在 被 其 他 线程 修改 的 链表 数据 结构 。 


11.2.4 Ft 


随 着 互 斥 锁 在 程序 中 的 使 用 越 来 越 多 ， 死 锁 (deadlock) 发 生 的 风险 也 会 大 大 增加 。 当 
一 些 线程 被 永久 地 阻止 获得 互 斥 锁 时 就 发 生 了 死 锁 。 例 如 ,线程 4 持 有 lockl 上 且 被 阻止 获取 
lock2, 线程 如 持 有 lock2 但 被 阻止 获取 lockl1 ， 此 时 就 会 出 现 死 锁 。 这 样 的 “死亡 拥抱 ”是 
根本 无 法 摆脱 的 ， 程 序 只 得 被 中 止 。 


< 候 设 图 11-2 中 的 addListener 和 update 函数 是 由 互 斥 锁 来 保护 的 ， 与 之 前 
的 两 个 示例 一 样 。update 函数 中 有 如 下 一 行 代 码 ， 其 调用 由 该 链表 元 素 所 指向 的 一 个 函数 。 
那么 ， 该 函数 本 身 需 要 获得 一 个 互 斥 锁 并 不 是 不 合理 的 。 

33 (* (element-—>listener) ) (newx) ; 

例如 ， 假 设 该 listener 函数 需要 刷新 显示 器 ， 而 显示 器 通常 是 共享 资源 ， 此 时 可 能 就 
必须 用 它 自 己 的 互 斤 锁 进行 保护 。 假 设 线程 4 调用 update 函数 ， 该 函数 在 第 33 行 时 由 
F listener 函数 尝试 获取 线程 妃 所 持 有 的 另 一 个 锁 而 被 阻塞 。 如 果 之 后 的 线程 妃 也 调用 
addListener 函数 ， 则 发 生死 锁 ! 


避免 死 锁 可 能 是 非常 困难 的 。 在 一 篇 经 典 的 文献 中 ，Coffman 等 (1971 ) 给 出 了 发 生死 
锁 的 一 组 必要 条 件 ， 去 除 其 中 的 任何 一 个 就 能 避免 死 锁 。 一 种 简单 的 技术 是 在 一 个 多 线程 的 
程序 中 仅 使 用 一 个 锁 。 然 而 ， 这 个 技术 不 能 很 好 地 支持 模块 化 编程 。 另 外 ， 因 为 某 些 共享 资 
源 (如 显示 器 ) 可 能 需要 被 长 时 间 持 有 ， 从 而 又 引起 其 他 线程 的 执行 错过 其 截止 期 ， 所 以 可 
能 难以 满足 实时 性 约束 。 

在 非常 简单 的 微 内 核 中 ， 我 们 有 时 可 以 用 中 断 的 使 能 和 禁止 作为 单个 全 局 的 互 斥 锁 。 假 
设 有 一 个 单 核 (而 非 多 核 ) 处 理 器 且 中 断 是 唯一 将 线程 挂 起 的 机 制 (也 就 是 说 ， 这 些 线程 不 
会 在 调用 内 核 服 务 或 在 IO 上 阻塞 时 被 挂 起 )。 基 于 这 些 假 设 ， 禁 止 中 断 就 可 以 防止 线程 被 
挂 起 。 然 而 ， 在 大 多 数 操作 系统 中 ， 线 程 可 能 会 因为 多 种 原因 被 挂 起 ， 因 此 这 一 技术 也 并 不 
完全 适用 。 

第 三 个 技术 是 当 有 多 个 互 斥 锁 时 ， 必 须 确保 每 个 线程 以 相同 的 顺序 来 获取 这 些 互 斥 锁 。 
然而 ， 由 于 诸多 原因 (见习 题 2 )， 这 可 能 也 是 难以 保证 的 。 首 先 ， 大 多 数 程序 是 由 多 位 程序 
员 编 写 的 ， 一 个 函数 中 要 获取 的 锁 并 非 该 函数 标识 的 一 部 分 。 因 此 ， 这 一 技术 依赖 于 整个 开 
发 团队 内 部 非常 细致 有 一 致 的 说 明文 档 与 合作 机 制 。 在 任何 时 候 ， 一 旦 添加 了 一 个 锁 ， 程序 
中 获取 锁 的 所 有 部 分 都 可 能 需要 被 修改 。 

其 次 ， 这 可 能 使 得 正确 地 编写 代码 变 得 极为 困难 。 如 果 程 序 员 和 希望 调用 一 个 函数 来 获取 
lock1 ， 依 惯例 该 锁 应 该 是 程序 中 第 一 个 被 获取 的 ,那么 该 函数 就 必须 首先 释放 它 所 持 有 的 
其 他 锁 。 然 而 ， 一 旦 函数 释放 了 这 些 锁 ， 它 就 可 能 被 挂 起 ， 此 时 其 之 前 用 锁 保 护 起 来 的 资源 
就 有 可 能 被 修改 。 一 旦 该 函数 获得 了 lock1， 它 就 必须 再 次 尝试 获取 之 前 释放 的 那些 锁 ， 但 
是 ， 接 下 来 将 需要 假设 该 函数 不 再 具有 关于 这 些 资 源 状 态 的 任何 信息 ， 由 此 可 能 需要 重新 进 
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行 大 量 的 处 理 。 

实际 上 ， 还 有 更 多 的 方法 来 防止 死 锁 。 例 如 ，Wang et al. (2009) 采用 了 一 个 相当 讲究 
的 技术 ， 其 在 调度 器 上 合成 约束 来 防止 死 锁 。 然 而 ,大 多 数 方法 要 么 对 程序 员 施加 严格 的 约 
束 ， 要 么 需要 采用 相当 复杂 的 机 制 ， 这 些 都 表示 该 问题 可 能 与 线程 的 并 发 编程 模型 有 关 . 


操作 系统 

上 谈 入 式 系统 中 的 计算 装置 通常 并 不 直接 采用 桌面 计算 机 或 手持 计算 机 的 人 机 交互 
方式 。 其 结果 是 ， 需 要 操作 系统 (Operating System， 简 写 为 OS) 提供 的 服务 集 可 能 会 
非常 不 同 。 当 今 桌 面 计 算 机 中 占 支配 地 位 的 通用 操作 系统 (general-purpose OS) 有 微软 
的 Windows、 蔷 果 的 Mac OS X 以 及 Linux 等 ， 提 供 了 眶 入 式 处 理 器 可 能 需要 也 可 能 不 
需要 的 服务 。 例 如 ,很 多 嵌入 式 应 用 并 不 需要 图 形 用 户 接 口 ( Graphical User Interface, 
GUI)、 文 件 系统 、 字 体 管理 或 者 网 络 协议 栈 等 。 

现在 已 有 很 多 面向 谋 入 式 应 用 的 专用 操作 系统 ， 包 括 微软 的 Windows CE (WinCE), 
风 河 公司 (2009 年 被 Intel 收购 ) 的 VxWorks, QNX 软件 公司 (2010 年 被 RIM 公司 9 收 
w ) #) QNX, HAA Linux (由 开源 组 织 推出 ) 以 及 FreeRTOS ( 另 一 个 开源 组 织 推出 )。 
这 些 谋 入 式 操 作 系 统 与 通用 操作 系统 有 很 多 共同 特性 ， 但 是 通常 拥有 专门 的 内 核 并 形成 
实时 操作 系统 ( Real-Time Operating System, RTOS). RTOS 提供 了 有 限 延 迟 的 中 断 服 
务 ， 同 时 提供 了 考虑 实时 约束 的 进程 调度 器 

移动 操作 系统 ( Mobile Operating System) 是 第 三 类 操作 系统 ， 其 专用 于 手持 设备 。 
iOS (苹果 公司 ) 和 Android (Google 公司 ) 智能 手机 操作 系统 在 当今 市 场 占有 支配 性 地 
位 ， 但 用 于 移动 电话 和 PDA 的 该 类 系统 软件 实际 上 已 具有 很 长 的 历史 。 相 关 的 系统 有 
Symbian OS(Symbian 基金 会 维护 的 开源 软件 ) BlackBerry OS(RIM 24] ), Palm OS(Palm 
公司 ，2010 年 被 惠普 收购 ) 以 及 Windows Mobile (微软 ) 等 。 这 些 操作 系统 具有 对 无 线 
连接 和 媒体 格式 的 专门 支持 。 

操作 系统 的 核心 是 内 核 (kernel)， 其 控制 所 执行 进程 的 顺序 、 内 存 使 用 以 及 信息 到 
外 设 与 网 络 的 传输 (通过 设备 驱动 程序 )。 微 内 核 (microkernel) 是 一 个 非常 小 的 操作 系 
统 ， 其 仅 提 供 以 上 这 些 服务 (甚至 是 这 些 服务 的 子 集 )。 然 而 ， 操 作 系 统 还 可 能 提供 诸多 
其 他 服务 ， 包 括 用 户 接口 设施 (集成 到 Mac OS X 和 Windows 中 )、 虚 拟 内 存 、 内 存 分 配 
与 回收 、 内 存 保护 (将 每 个 应 用 与 内 核 及 其 他 应 用 进行 隔离 )、 文 件 系统 以 及 程序 间 交 互 
机 制 ， 如 信号 量 、 互 斥 锁 以 及 消息 传递 库 等 。 





11.25 ”内 存 一 致 性 模型 


如 竞 态 条 件 、 死 锁 并 非 完 全 没有 问题 一 样 ， 线 程 也 会 受到 程序 内 存 模型 中 洪 在 问题 的 影 
响 。 任 何 特定 的 线程 实现 都 给 出 了 某 种 内 存 一 致 性 模型 ， 其 定义 了 由 不 同 线程 读 写 的 变量 如 
何 呈 现 给 这 些 线程 。 很 显然 ， 读 变量 就 应 该 获取 到 最 后 写 给 该 变量 的 值 ， 但 是 ,“ 最 后 ”(last) 
又 意味 着 什么 ? 举例 说 明 ， 我 们 来 看 这 样 一 个 场景 ， 所 有 变量 都 被 初始 化 为 0 且 线程 4 执行 
如 下 两 条 语句 。 


© RIM, Bl Research in Motion， 加 拿 大 “行动 研究 ”公司 ，2013 年 RIM 更 名 为 BlackBerry Limited， 即 著名 的 
黑莓 公司 。 译 者 注 
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) = ks 
= w= -Yy 
线程 B 执行 以 下 两 条 语句 。 
t 有 
2 D= Rj 


显然 ， 在 两 个 线程 完成 这 些 语句 的 执行 之 后 ,我们 期 望 w 和 z 这 两 个 变量 中 至 少 有 一 
个 的 值 是 1。 这 种 保证 被 称 为 顺序 一 致 性 ( Lamport，1979 )。 即 ， 任 何 顺序 的 执行 结果 都 是 
相同 的 ， 就 好 像 所 有 线程 都 在 以 某 种 顺序 执行 ， 且 在 该 序列 中 单个 线程 的 运行 好 像 是 以 指定 
的 顺序 出 现 的 。 

然而 ， 顺 序 一 致 性 在 大 多 数 (或 者 几乎 所 有 ) POSIX 线程 的 实现 中 并 没有 得 到 保证 。 实 
际 上 ， 在 使 用 现代 编译 器 的 现代 处 理 器 上 提供 这 样 的 保证 是 相当 有 难度 的 。 例 如 ， 编 译 器 并 
不 会 对 每 个 线程 中 的 指令 进行 重新 排序 ， 这 是 因为 它们 之 间 并 没有 (编译 器 可 见 的 ) 依赖 性 。 
即使 编译 器 不 对 这 些 指令 进行 重新 排序 ， 和 硬件 也 会 进行 处 理 。 一 个 好 的 应 对 策略 是 使 用 互 斥 
锁 来 小 心地 监督 对 共享 变量 的 访问 〈 且 乔 望 这 些 互 斥 锁 本 身 都 被 正确 地 实现 )。 

对 内 存 一 致 性 问题 的 权威 阐述 可 见于 Adve 和 Gharachorloo 的 文章 ( 1996 )， 其 侧重 于 
多 处 理 器 体系 。Boehm 等 人 (2005 ) 对 单 处 理 器 上 的 内 存 一 致 性 问题 进行 了 分 析 。 


11.2.6 ”多 线程 机 制 带 来 的 问题 


多 线程 程序 可 能 非常 难于 理解 ， 也 很 难 对 该 类 程序 建立 起 足够 的 信心 ， 因 为 代码 中 的 问 
题 在 测试 中 可 能 并 不 会 呈现 出 来 。 例 如 ， 程 序 可 能 会 发 生死 锁 , 但 尽管 如 此 ， 该 程序 也 可 以 
正确 运行 很 多 年 且 不 出 现 死 锁 。 虽然 说 程序 员 必 须 非 常 间 慎 ， 但 由 于 程序 的 分 析 非 常 困难 ， 
编程 错误 仍然 是 可 能 存在 的 。 

在 图 11-2 的 示例 中 ,我们 可 以 使 用 简单 的 技巧 来 避免 示例 11.11 中 潜在 的 死 锁 问题 ， 但 
是 这 个 技巧 会 引起 一 个 更 为 隐蔽 的 错误 (insidious error， 指 在 测试 中 不 会 出 现 且 在 出 现时 也 
不 会 被 提示 的 错误 ， 而 不 像 会 被 立即 提示 的 死 锁 )。 


ABEP 假设 性 update 函数 修改 为 如 下 形式 。 


void update (int newx) { 
x = newx; 
// 复制 链表 
pthread_mutex_lock (&lock) ; 
element_t* headc = NULL; 
element_t* tailc = NULL; 
element_t* element = head; 
while (element != 0) { 
if (headc == NULL) { 
headc = malloc(sizeof(element_t) ); 
headc->listener = head->listener; 


headc->next = 0; 
taile = headc; 
} else { 
tailc->next = malloc (sizeof (element_t) ); 


tail = tailc->next; 
taile-—>listener = element-—>listener; 
tailc->next = 0; 

} 

element = element—>next; 


} 
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pthread_mutex_unlock (&lock) ; 


// 通知 所 有 listener 使 用 该 拷贝 


element = headc; 

while (element != 0) { 
(* (element-—>listener) ) (newx) ; 
element = element—>next; 


} 
} 


在 这 个 实现 中 ， 当 其 调用 listener 函数 时 并 不 会 持 有 lock。 反 之 ， 它 在 构建 listener 链表 
的 一 个 拷贝 时 会 持 有 锁 ， 并 在 之 后 杰 放 该 锁 。 在 释放 锁 之 后 ， 其 使 用 listener 链表 的 拷贝 来 
通知 各 个 listener. 

然而 ， 这 段 代码 具有 在 测试 中 可 能 检测 不 到 的 一 个 潜在 严重 问题 。 具 体 而 言 ， 假 设 线程 
4 用 参数 newx=0 来 调用 update HA, 表示 “所 有 系统 都 正常 ”。 假 设 线程 4 在 释放 锁 lock 
之 后 、 执 行 通知 之 前 立即 被 挂 起 。 又 假设 在 它 被 挂 起 期 间 ， 线程 B 以 参数 newx=1 来 调用 
update 函数 ， 意 味 着 “紧急 ! 引擎 着 火 了 !”， 且 对 update 的 这 个 调用 会 在 线程 4 恢复 之 前 
执行 完成 。 当 线程 4 恢复 执行 时 ， 其 将 通知 所 有 listener, 但 它 通知 了 错误 的 值 ! 如 果 一 个 
listener 正在 刷新 飞机 的 驾驶 显示 器 ， 在 引 澡 着 火 时 显示 器 将 仍然 指示 所 有 系统 都 是 正常 的 。 





很 多 程序 员 都 非常 熟悉 线程 机 制 ， 且 深刻 体会 到 使 用 线程 机 制 可 以 方便 地 开发 出 支持 并 
行 化 的 和 硬件。 构建 可 靠 和 正确 的 多 线程 程序 是 可 能 的 但 并 非 那么 容易 。 例 如 ， 可 以 在 文献 
(Lea, 1997) 中 看 到 如 何 使 用 Java 线程 机 制 的 优秀 方法 指南 。 直 到 2005 年 ， 标 准 的 Java 
库 中 才 包 括 了 基于 线程 的 并 发 数据 结构 和 机 制 (Lea，2005 )。 类 似 于 OpenMP (Chapman et 
al., 2007) 的 库 也 提供 了 对 常用 多 线程 模式 的 支持 ， 如 并 行 循 环 结构 等 。 然 而 ， 构 入 式 系统 
程序 员 很 少 使 用 Java 或 诸如 OpenMP 等 大 型 的 复杂 软件 包 。 而 且 ， 即 使 是 使 用 了 ， 还 会 发 
生 同 样 的 死 锁 风险 和 隐蔽 错误 。 

线程 机 制 有 很 多 难点 ， 将 它们 提供 给 程序 员 作 为 构建 并 发 程序 的 方式 是 有 问题 的 
( Ousterhout, 1996 ; Sutter and Larus, 2005 ; Lee, 2006; Hayes，2007 )。 实 际 上 , 在 20 
世纪 90 年 代 之 前 ， 应 用 程序 员 根 本 不 使 用 线程 机 制 。 随 着 类 似 于 POSIX 线程 的 库 以 及 诸如 
Java 和 C# 等 编程 语言 出 现 ， 才 开始 将 这 些 机 制 提 供给 应 用 程序 设计 人 员 。 

复杂 的 多 线程 程序 通常 会 异常 地 难以 理解 ， 并 可 能 产生 隐蔽 错误 、 竞 态 条 件 以 及 死 锁 。 
这 些 问 题 可 能 隐藏 在 多 线程 程序 中 很 多 年 ， 即 使 这 些 程序 被 大 量 地 使 用 。 这 些 关注 点 对 于 影 
响 人 类 安全 和 生活 的 府 入 式 系统 尤为 重要 。 自 从 几乎 每 个 嵌 人 式 系 统 都 包含 了 并 发 软件 ， 设 
计 艇 入 式 系统 的 工程 师 们 就 不 得 不 面 对 这 些 陷阱 和 问题 。 

11.3 ”进程 与 消息 传递 

进程 (process) 是 拥有 上 自己 内 存 空间 的 命令 式 程序 。 进 程 之 间 不 能 互相 引用 彼此 的 变 
量 ， 从 而 ， 它 们 也 不 会 出 现 线程 中 涉及 的 那些 问题 。 进 程 必须 要 通过 操作 系统 、 微 内 核 或 库 
所 提供 的 机 制 来 进行 通信 。 

正确 地 实现 进程 一 般 要求 硬 件 以 内 存 管理 单元 (或 MMU) 的 形式 给 予 支持 。MMU 防 
止 一 个 进程 的 内 存 被 其 他 进程 意外 地 读 或 者 写 。MMU 通常 也 提供 地 址 转换 能 力 ， 就 好 像 是 
为 每 个 进程 提供 了 一 个 固定 的 内 存 地 址 空间 ， 且 所 有 进程 都 好 像 具 有 相同 的 地 址 空间 。 当 进 
程 访 问 该 地 址 空间 中 的 一 个 内 存 位 置 时 ,MMU 将 把 该 地 址 转换 到 分 配给 该 进程 的 物理 内 存 
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块 中 的 某 个 位 置 。 

为 了 实现 并 发 性 ， 进 程 之 间 也 要 能 够 进行 通信 。 操 作 系统 通常 会 提供 多 种 通信 机 制 ， 甚 
至 包括 创建 共享 内 存 的 能 力 ， 当 然 ， 此 时 就 又 把 多 线程 编程 中 存在 的 潜在 难题 呈现 给 了 程 
序 员 。 

一 个 较 容易 的 机 制 是 文件 系统 。 从 数据 较 创 建 它 的 进程 可 以 存续 更 久 的 意义 上 说 ,文件 
系统 是 创建 持久 数据 体 的 一 个 简单 方法 。 进 程 可 以 创建 数据 并 将 其 写 入 一 个 文件 ， 另 一 个 
进程 可 以 从 该 文件 中 读 取 数据 。 这 时 ， 由 文件 系统 的 实现 来 确保 读 取 数 据 的 进程 不 会 在 数据 
被 写 入 之 前 就 进行 读 操作 。 这 是 可 以 被 实现 的 ， 如 可 以 限定 某 一 时 刻 只 能 有 一 个 进程 来 操作 
文件 。 

一 个 更 为 灵活 的 进程 间 通 信 机 制 是 消息 传递 。 这 里 ， 进 程 创建 一 个 数据 块 并 将 其 存放 在 
一 个 受 控 的 共享 内 存 区 域 ， 之 后 通知 其 他 进程 有 消息 已 经 准备 就 绪 。 读 消息 的 那些 进程 可 以 
阻塞 等 待 数 据 的 就 绪 。 消 息 传递 机 制 也 要 使 用 可 共享 的 内 存 ， 但 这 是 在 专业 人 员 编 写 的 库 中 
实现 的 。 应 用 程序 设计 人 员 调 用 库 函 数 来 发 送 消息 或 者 接收 消息 。 


AED 四 11-5 给 出 了 一 个 简单 的 消息 传递 程序 示例 。 程 序 使 用 生产 者 / 消费 者 模 
式 (producer/consumer pattern)， 一 个 线程 生成 一 个 消息 序列 (一 个 消息 流 ，stream)， 另 一 
个 线程 读 取 这 些 消息 。 这 个 模式 可 被 用 于 实现 观察 者 模式 ， 而 不 存在 死 锁 风 险 及 上 一 节 中 讨 
论 的 隐蔽 错误 。update 函数 一 直 是 在 观察 者 的 不 同 线程 中 执行 ， 并 生成 观察 者 要 读 取 的 消息 。 


1 voidx producer (void+ arg) { 
TRE: es 
for (i = OF í < 107 所 #4+) 1 
send(i); 
} 
return NULL; 


} 
voids consumer (void+ arg) { 
while(1) { 
printf ("received %d\n", get()); 


} 
return NULL; 


main(void) { 

pthread_t threadID1, threadID2; 

void» exitStatus; 

pthread_create(&threadID1, NULL, producer, NULL); 
pthread_create (&threadID2, NULL, consumer, NULL); 
pthread_join(threadID1, &exitStatus) ; 
pthread_join(threadID2, &exitStatus) ; 

return 0; 





图 11-5 简单 的 消息 传递 应 用 示例 


图 11-5 中 ， 生 产 者 线程 执行 的 代码 在 producer 函数 中 ， 消 费 者 线程 执行 的 代码 则 在 
consumer 函数 中 。producer 在 第 4 行 调用 send 函数 (待定 义 ) 来 发 送 一 个 整数 值 的 消息 。 
consumer 在 第 10 行使 用 get 函数 (待定 义 ) 来 接收 消息 。consumer 约定 ，get 函数 直到 实际 
接收 到 消息 才 会 返回 。 请 注意 ,在 这 种 情况 下 consumer 一 直 不 返回 ， 因 此 该 程序 就 不 会 自 
行 终止 。 

使 用 POSIX 线程 的 send 和 get 函数 实现 如 图 11-6 所 示 。 这 一 实现 使 用 了 类 似 于 图 11-2 
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中 的 链表 结构 ， 结 点 的 有 效 载荷 为 int 型 。 这 里 ， 链 表 被 实现 为 一 个 无 限 长 度 的 FIFO (First- 
In-First-Out) 队列 ， 新 的 元 素 将 被 插入 队 尾 ， 而 旧 元 素 将 从 队 首 移 除 。 





#include <pthread.h> 
struct element 


typedef struct element element_t; 
element_t *head = 0, 
int size = 0; 

pthread_mutex_t mutex = PTHREAD_MUTEX_INITIALIZER; 
pthread_cond_t sent 


*tail = 0; 


void send(int message) { 

pthread_mutex_lock (&mutex) ; 

if (head == 0) { 
head = 
head->payload = 
head->next = 0; 
tail = head; 

} else { 
tail->next = 
tail = tail->next; 
tail->payload = message; 
tail->next = 0; 


message; 


} 
sizet+; 
pthread_cond_signal (&sent) ; 


pthread_mutex_unlock (&mutex) ; 


get() { 

element_t* element; 

int result; 

pthread_mutex_lock (&mutex) ; 

while (size == 0) { 
pthread_cond_wait (&sent, 

} 

result = 

element = head; 

head = head->next; 

free (element); 

size--; 


head->payload; 


pthread_mutex_unlock (&mutex) ; 


return result; 





{int payload; struct element» next; }; 


= PTHREAD_COND_INITIALIZER; 


malloc (sizeof (element_t)); 


malloc (sizeof (element_t) ); 


&mutex) ; 


11-6 发 送 和 接收 消息 的 消息 传递 函数 


首先 来 看 一 下 send 函数 的 实现 。 其 使 用 了 互 斥 锁 来 确保 send 和 get 不 会 同时 修改 链表 ， 
这 与 之 前 一 样 。 但 是 ， 它 还 附加 地 使 用 了 一 个 条 件 变量 (condition variable) 来 通知 消费 者 
进程 该 队列 的 长 度 发 生 了 改变 。 第 7 行 声 明 并 初始 化 了 条 件 变量 sent。 在 第 23 行 ， 生 产 者 
线程 调用 pthread_cond signal 函数 ， 其 “唤醒 ”阻塞 在 该 条 件 变 量 上 的 另 一 个 线程 (如 果 存 


在 的 话 )。 


要 了 解 “唤醒 ” 另 一 个 线程 的 含义 就 需要 查看 get 函数 。 在 第 31 行 ， 


如 果 调 用 get 函数 


的 线程 发 现 当 前 的 队列 长 度 为 0， 它 将 会 调用 pthread cond wait 函数 ， 该 函数 将 阻塞 线程 


直到 其 他 线程 调用 了 pthread cond signal 函数 。 


请 注意 ，get 函数 要 在 检查 size 变量 之 前 获取 互 斥 锁 。 在 第 31 行 ，pthread_cond_wait 
函数 将 &mutex 作为 参数 。 实 际 上 ， 当 该 线程 阻塞 这 一 等 待 时 ， 它 会 临时 地 释放 mutex 锁 。 
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如 果 不 杰 放 ， 生 产 者 线程 就 不 能 进入 临界 区 ， 从 而 也 就 不 能 发 送 消 息 ， 程 序 将 会 出 现 死 锁 。 
# pthread_cond wait 函数 返回 之 前 ， 它 将 再 次 获取 mutex 锁 。 

在 调用 pthread_cond_wait 函数 时 ， 程 序 员 必 须 非 常 小 心 ， 因 为 mutex 锁 在 该 调用 过 程 
中 会 被 临时 释放 。 由 此 ， 调 用 pthread cond wait 函数 之 后 ， 共 享 变量 的 值 与 调用 之 前 可 能 
不 同 (见习 题 3)。 因 此 ， 是 在 循环 检测 size 变量 的 while 循环 中 (第 30 行 ) 调用 pthread_ 
cond_wait 函数 。 这 也 就 解释 了 多 个 线程 可 能 同时 阻塞 在 第 31 行 的 可 能 性 (因为 临时 释放 互 
斥 锁 )。 当 一 个 线程 调用 pthread cond signal 函数 时 ， 所 有 正在 等 待 的 线程 都 将 被 通知 。 但 
是 ， 只 有 一 个 会 在 其 他 线程 之 前 重新 获得 该 互 斥 锁 并 读 取 发 送 的 消息 ， 导 致 size 被 重新 设置 
为 0。 当 其 他 被 通知 到 的 线程 最 终 获 得 互 斥 锁 时 ， 将 会 发 现 size==0 并 恢复 等 待 。 


上 例 中 使 用 的 条 件 变 量 是 信和 号 量 (semaphore) 的 一 般 形式 。 信 号 量 的 命名 来 源 于 传统 铁 
路 系统 中 表示 某 个 铁轨 区 间 上 有 火车 通行 的 机 械 信号 ， 使 用 该 类 信号 量 ， 就 可 以 为 双向 行驶 
的 火车 使 用 一 个 铁轨 区 间 (该 信号 量 实现 了 互 斥 ， 防 止 两 列 火车 同时 处 于 相同 的 铁轨 区 间 ， 
即 意味 着 发 生 碰撞 )。 

在 20 世纪 60 年 代 ， 和 荷兰 埃 因 霍 温 理工 大 学 数学 系 的 Edsger W. Dijkstra 教授 借用 这 一 
思想 来 说 明 程序 如 何 能 够 安全 地 共享 资源 。 计 数 信 号 量 (Dijkstra 将 其 称 为 PV 信号 量 ) 是 一 
个 值 为 非 负 整数 的 变量 。 零 被 视 为 明显 不 同 于 大 于 零 的 值 。 实 际 上 ， 示例 11.13 中 的 size 变 
量 就 发 挥 了 该 信号 量 的 作用 。 发 送 一 个 消息 会 使 该 变量 的 值 增 加 ， 零 值 会 阻塞 消费 者 直至 其 
值 大 于 0。 条 件 变量 通过 支持 任意 条 件 (而 不 只 是 零 或 非 零 ) 将 该 思想 推广 为 用 于 阻塞 的 门 
控 标 准 。 另 外 ， 至 少 在 POSIX 线程 中 ， 条 件 变 量 和 互 斥 锁 也 会 进行 协同 ， 从 而 使 得 编写 类 
似 于 示例 11.13 所 示 模 式 的 程序 更 为 容易 。 鉴 于 在 并 发 编程 方面 做 出 的 突出 贡献 ，Dijkstra 
于 1972 年 获得 网 灵 奖 。 

在 应 用 中 使 用 消息 传递 可 能 比 使 用 线程 和 共享 变量 更 加 容易 。 但 是 ， 消 息 传递 并 不 是 完 
全 没有 风险 。 示 例 11.13 中 生产 者 / 消费 者 模式 的 实现 实际 上 存在 一 个 相当 严重 的 问题 ， 具 
体 而 言 ， 其 并 没有 对 消息 队列 的 长 度 进行 约束 。 生 产 者 线程 调用 send KAT, BLA AEA 
消息 分 配 内 存 ， 且 在 该 消息 被 取 走 之 前 相应 的 内 存 空间 不 会 被 释放 。 如 果 生 产 者 线程 产生 消 
息 的 速度 快 于 消费 者 读 取 消息 的 速度 ， 那 么 程序 将 最 终 耗 尽 所 有 可 用 的 内 存 。 当 然 ， 可 以 
通过 限制 消息 队列 的 长 度 (见习 题 4) 来 解决 这 个 问题 ， 但 是 什么 长 度 的 消息 队列 才 是 合适 
的 ?选择 过 小 的 队列 长 度 值 可 能 会 引起 程序 的 死 锁 ， 队 列 长 度 值 过 大 又 会 造成 资源 的 浪费 。 
解决 这 个 问题 是 非常 重要 的 (Lee, 2009b). 

这 里 还 有 其 他 陷阱 。 程 序 员 可 能 无 意 间 构造 了 会 发 生死 锁 的 消息 传递 程序 ， 如 程序 中 的 
一 组 线程 都 在 互相 等 待 来 自 其 他 另 一 个 线程 的 消息 。 另 外 ， 程 序 员 可 能 无 意 间 构建 非 确定 性 
消息 传递 程序 ， 在 某 种 意义 上 ， 计 算 结 果 会 依赖 于 调度 器 调度 线程 的 (任意 ) 顺序 。 

对 于 应 用 程序 设计 人 员 而 言 ， 最 简单 的 解决 方法 是 使 用 并 发 的 高 级 抽象 ， 即 图 11-1 中 
的 最 上 面 一 层 ， 如 第 6 章 所 述 。 当 然 ， 仅 当 存在 可 用 的 高 级 并 发 计算 模型 的 可 靠 实 现时 ， 才 
可 以 使 用 这 一 策略 。 


11.4 mg 


本 章 聚 焦 于 并 发 程序 的 中 间 层 抽象 ， 其 在 中 断 与 并 行 硬件 层 之 上 、 并 发 计算 模型 之 下 。 
具体 地 ， 本 章 介 绍 了 并 发 执行 且 共 享 变量 的 顺序 程序 一 一 线程 ， 同 时 介绍 了 互 斥 和 信和 号 量 的 
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传递 机 制 避免 了 其 中 的 一 些 难题 ， 但 并 非 全 部 ， 付 出 的 代价 是 通过 禁止 直接 共享 数据 而 受到 
了 更 多 的 约束 。 长 远 来 看 ,设计 人 员 将 会 更 好 地 使 用 较 高 级 别 的 抽象 ， 具 体 如 第 6 章 所 述 。 


习题 


I. 
A 


Le 


类 似 于 图 11-3， 请 给 出 图 11-2 中 addListener 函数 的 扩展 状态 机 模型 。 
假设 两 个 整 型 全 局 变量 a 和 bb 被 多 个 线程 所 共享 ; lock a lock b 是 保护 访问 a Al 的 两 个 互 斥 锁 。 
要 求 不 能 假定 int 型 全 部 变量 的 读 和 写 是 原子 的 。 那 么 ， 请 阅读 如 下 代码 。 


int a, b; 


1 
2 pthread_mutex_t lock_a 

3 = PTHREAD_MUTEX_INITIALIZER; 
4 pthread_mutex_t lock_b 

5 = PTHREAD_MUTEX_INITIALIZER; 
6 

7 void procedurel (int arg) { 

8 pthread_mutex_lock (&lock_a) ; 

9 if (a == arg) { 

10 procedure2 (arg); 

11 } 

12 pthread_mutex_unlock (&lock a); 
13 } 

14 

15 void procedure2(int arg) { 

16 pthread_mutex_lock (&lock_b) ; 
17 b = arg; 

18 pthread_mutex_unlock (&lock_b) ; 


19 } 
假设 为 了 确保 不 会 出 现 死 锁 ， 开 发 团队 已 经 约定 : 任何 要 同时 获取 两 个 锁 的 线程 都 必须 先 获 
取 lock_b 再 获取 lock_a。 另 外 ， 基 于 性 能 方面 的 考虑 ， 团 队 内 要 保证 仅 在 有 必要 时 才 会 获取 锁 。 由 
此 ,将 procedurel 函数 修改 为 如 下 形式 就 是 不 可 接受 的 。 
1 void procedurel (int arg) { 
2 pthread_mutex_lock (&lock_b) ; 
3 pthread_mutex_lock (&lock_a) ; 
4 if (a == arg) { 
5 procedure2 (arg); 
6 
7 
8 


} 
pthread_mutex_unlock (&lock_a); 


pthread_mutex_unlock (&lock_b) ; 
} 


一 个 调用 procedure] 函数 的 线程 将 在 a 不 等 于 arg 时 不 必要 地 获取 lock b9. ÑH procedurel 
的 一 个 设计 ， 使 不 必要 获得 lock_b 的 次 数 最 少 。 请 问 ， 所 给 出 的 解决 方案 是 否 完全 消除 了 对 lock b 
的 不 必要 获取 ? 是 否 还 有 其 他 解决 方案 ? 


.图 11-6 中 get 函数 的 实现 允许 由 多 个 线程 来 调用 get 函数 。 


然而 ， 如 果 将 代码 的 第 30 ~ 32 行 改 为 如 下 使 用 pthread_cond_wait 函数 的 形式 ， 那 么 这 段 代码 
仅 在 满足 以 下 两 个 条 件 时 才能 工作 。 


1 if (size == 0) { 
2 pthread_cond_wait (&sent, &mutex) ; 
3 } 


O 在 一 些 线程 库 中 ， 该 类 代码 实际 上 是 不 正确 的 ， 即 一 个 线程 在 尝试 获得 其 已 经 持 有 的 锁 时 将 被 阻塞 。 但 我 们 
对 该 问题 做 出 假设 ， 如 果 线程 尝试 获取 其 已 经 持 有 的 一 个 锁 ， 该 锁 将 立即 授权 给 该 线程 。 


4. 


(LA 


a 
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e 仅 当 对 pthread_cond_signal 函数 有 一 个 相对 应 的 调用 时 ，pthread_cond_wait PAGE Il ; 
© 且 仅 有 一 个 消费 者 线程 。 
请 解释 为 什么 需要 条 件 2。 
示例 11.13 中 生产 者 / 消费 者 模式 的 实现 具有 消息 队列 长 度 无 限制 的 缺点 。 当 可 用 内 存 耗 尽 时 (导致 
malloc 函数 失败 )， 程 序 就 可 能 失败 。 请 修改 图 11-6 中 send 函数 和 get 图 数 的 代码 ， 使 得 消息 队列 
的 长 度 为 5。 


. 消息 队列 的 一 个 可 替代 形式 称 为 会 合式 ， 其 与 示例 11.13 中 的 生产 者 / 消费 者 模式 相似 ， 但 是 它 会 


更 为 密切 地 同步 生产 者 与 消费 者 。 有 具体 如 在 示例 11.13 中 ，send 函数 会 立即 返回 ， 而 不 关心 是 否 有 
任何 消费 者 线程 已 经 准备 好 接收 该 消息 。 在 会 合式 通信 中 ，send 函数 将 不 会 立即 返回 ， 直 到 一 个 消 
费 者 线程 已 经 执行 至 调用 get 函数 的 代码 位 置 ， 由 此 并 不 需要 缓冲 这 些 消息 。 请 设计 可 实现 该 会 合 
式 机 制 的 send 函数 和 get 函数 。 


. 有 如 下 一 段 代码 。 


1 int x = 0; 

2 int a; 
pthread_mutex_t lock_a = PTHREAD_MUTEX_INITIALIZER; 
pthread_cond_t go = PTHREAD_COND_INITIALIZER; // 在 c 部 分 使 用 


pthread_mutex_lock (&lock_a) ; 
a=1; 
pthread_mutex_unlock (&lock_a) ; 
10 <proc3>(); ZZ 在 proc3a 或 proc3b 调用 
n // 取决 于 问题 
mw 二 


3 
4 
5 
6 void procl() { 
7 
8 
9 


14 void proc2() { 


15 pthread_mutex_lock (&lock_a); 

16 a = 0; 

17 pthread_mutex_unlock (&lock_a) ; 
18 <proc3>(); 


19 } 


21 void proc3a() { 


22 if(a == 0){ 

23 X= x + l? 
24 } else | 

25 zagi 


26 } 
a f 


2 void proc3b(){ 


30 pthread_mutex_lock (&lock a); 
31 if(a == 0) { 

32 = x * 1} 

33 } else 1 

34 gS e > 2 

35 } 

36 pthread_mutex_unlock (&lock_a); 


37 } 


假设 procl 和 proc2 在 两 个 独立 的 线程 中 运行 ， 且 每 个 函数 仅 在 相应 的 线程 中 调用 一 次 。 变 量 x 
Al a 是 全 局 变量 且 在 线程 间 共 享 ，x 的 初 值 为 0。 进 而， 假设 加 法 、 减 法 操作 都 是 原子 的 。 
根据 各 问题 ， 在 procl 和 proc2 中 用 对 proc3a 和 proc3b 的 调用 来 替代 对 proc3 的 调用 。 
(a) 如 果 procl 和 proc2 在 第 10 行 和 第 18 行 调 用 proc3a， 全 局 变量 x 的 最 终 值 是 否 确保 为 0? 请 证 
明 你 的 答案 
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(b) 如 果 procl 和 proc2 调用 proc3b 呢 ， 情况 如 何 ? 请 证 明 你 的 答案 。 

(c) procl 和 proc2 仍然 调用 proc3b， 请 用 条 件 变量 go 来 修改 procl 和 proc2 以 确保 x 的 最 终 值 为 
2。 特 别 地 ， 请 给 出 上 述 代码 中 应 该 插入 pthread_cond_waitt 和 pthread_cond signal 的 位 置 。 请 
简要 地 证 明 你 的 答案 。 假 设 procl 在 proc2 之 前 获得 lock_a。 

请 回顾 “pthread cond wait(&go, &lock a);” 将 会 暂时 释放 lock a 并 阻塞 调用 线程 直至 另 一 个 线 

程 调用 执行 了 “pthread cond signal(&go);”， 此 时 ， 该 等 待 线程 将 被 解除 阻塞 并 再 次 获取 lock_a。 

(该 题 由 Matt Weber 提供 。) 


| 第 12 章 


Introduction to Embedded Systems: A Cyber-Physical Systems Approach, 2E 


调度 机 制 





第 11 章 已 经 解释 了 多 任务 机 制 ， 该 机 制 中 多 个 命令 式 任 务 并 发 执行 ， 要么 是 在 单 处 理 
器 上 交替 执行 ， 要 么 是 在 多 处 理 器 上 并 行 执行 。 当 处 理 器 的 数量 少 于 任务 数量 时 (通常 情况 
下 如 此 )， 或 者 当 任务 必须 在 特定 的 时 间 执 行 时 ， 调 度 器 就 必须 进行 和 干预。 调度 器 决策 接 下 
来 的 某 个 时 刻 将 要 做 什么 ， 如 当 处 理 器 状态 变 为 可 用 时 。 

实时 系统 是 任务 的 集合 ， 除 了 由 任务 之 间 的 优先 序 所 施加 的 排序 约束 之 外 ， 还 会 有 时 
序 约束 。 这 些 约束 将 任务 的 执行 与 实时 (real time) 关联 到 一 起 ， 即 执行 该 任务 的 计算 机 环 
境 中 的 物理 时 间 。 任 务 通常 具有 截止 期 ， 其 是 任务 执行 完成 时 的 物理 时 间 值 。 更 为 普遍 地 ， 
实时 程序 可 以 有 各 种 时 间 约 束 (timing constraint)， 而 不 仅 限于 截止 期 。 例 如 ， 可 以 要 求 一 
个 任务 的 执行 不 能 早 于 某 个 特定 时 间 ; 或 者 要 求 在 另 一 个 任务 执行 之 后 ， 一 个 任务 的 执行 不 
能 超过 给 定 的 时 间 量 ; 又 或 者 ， 该 任务 可 能 被 要 求 以 某 个 特定 周期 来 反复 执行 。 多 个 任务 可 
能 互相 依赖 ， 并 互相 配合 以 形成 一 个 应 用 。 或 者 ， 这 些 任 务 除 了 共享 处 理 器 资源 之 外 ， 可 能 
没有 其 他 关系 。 所 有 这 些 情形 都 需要 一 个 调度 策略 。 


12.1 调度 基础 


本 节 将 讨论 调度 的 能 力 范围 、 调 度 器 用 于 管理 进程 的 任务 属性 ， 以 及 操作 系统 或 微 内 核 
中 的 调度 器 实现 。 


12.1.1 调度 决策 


当 在 执行 一 个 并 发 程序 或 一 组 程序 时 ， 由 调度 器 决定 下 一 个 要 执行 的 任务 。 一 般 
而 言 ， 一 个 调度 器 可 能 会 面 对 多 个 可 用 的 处 理 器 (如 在 多 核 系 统 中 )。 多 处 理 器 调度 器 
( multiprocessor scheduler) 不 仅 需要 决定 接 下 来 要 执行 哪个 任务 ， 还 要 决定 该 任务 在 哪个 处 
理 器 上 执行 。 处 理 器 的 选择 被 称 为 处 理 器 分 配 (processor assignment). 

调度 决策 (scheduling decision) 即 做 出 执行 一 个 任务 的 决定 ， 其 包括 以 下 三 个 部 分 。 

e 分 配 (assignment): 哪 一 个 处 理 器 执行 该 任务 。 

e 排序 (ordering): 每 个 处 理 器 应 该 采用 什么 顺序 来 执行 分 配给 它 的 任务 。 

e 定时 (timing): 每 个 任务 开始 执行 的 时 间 。 

这 三 个 决策 中 的 每 一 个 都 可 以 在 设计 阶段 (design time) 确定 ， 即 程序 开始 执行 之 前 ， 
或 者 在 运行 时 (runtime) 确定 ， 即 程序 执行 期 间 。 

根据 做 出 决策 的 时 机 ， 我们 可 以 将 调度 器 划分 为 不 同 的 类 型 (Lee and Ha，1989 )。 全 
静态 调度 器 ( fully-static scheduler) 在 设计 阶段 就 要 确定 这 三 个 因素 。 对 于 每 个 处 理 器 ， 调 
度 结果 就 是 关于 在 什么 时 候 做 什么 的 精确 规格 说 明 。 全 静态 调度 器 通常 不 需要 信和 号 量 或 者 
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锁 。 它 可 以 使 用 定时 ， 而 不 是 强制 互 斥 或 者 优先 约束 。 然 而 ， 全 静态 调度 器 在 很 多 现代 微 处 
理 器 上 很 难 实现 ， 因 为 很 难 精确 预测 任务 执行 所 需要 的 时 间 ， 而 且 任务 通常 具有 数据 依赖 的 
执行 时 间 (参见 第 16 BE). 

静态 顺序 调度 器 (static order scheduler) 在 设计 阶段 进行 任务 的 分 配 和 排序 ， 但 会 延迟 
到 运行 时 才 确 定 任务 执行 的 实际 时 间 。 该 决策 可 能 会 被 一 些 因素 影响 ， 如 是 否 能 够 获取 一 
互 斥 锁 ， 或 者 是 否 满 足 了 优先 序 约束 。 在 静态 顺序 调度 中 ， 在 程序 开始 执行 之 前 每 个 处 理 需 
上 的 执行 顺序 就 已 经 被 指定 ， se 快 地 执行 。 例 如 ， 其 并 不 改变 基于 信 


号 量 或 锁 状 态 的 任务 顺序 。 然 一 个 任务 本 身 可 能 会 阻塞 在 一 个 信号 量 或 者 锁 上 ， 在 这 种 
情况 下 ， rem et a ee 静态 顺序 调度 融通 常 也 被 称 为 离线 调度 器 
(off-line scheduler). 


静态 分 配 调度 器 ( static assignment scheduler) 在 设计 阶段 进行 任务 分 配 ， 而 其 他 则 都 
在 运行 时 确定 。 每 个 处 理 避 都 有 一 组 给 定 的 待 执行 任务 ， 运 行 时 调度 器 (run-time scheduler) 
在 执行 期 间 决 定 接 下 来 要 执行 什么 任务 。 

全 动态 调度 器 ( fully-dynamic scheduler) 在 运行 时 进行 全 部 三 个 方面 的 决策 。 当 处 理 带 
变 为 可 用 状态 时 〈 如 处 理 需 完成 了 一 个 任务 的 执行 ,或 者 任务 获取 互 斥 锁 时 被 阻塞 )， 调 度 
器 在 此 时 决定 接 下 来 在 处 理 器 上 要 执行 哪个 任务 。 静 态 分 配 调 度 器 和 全 动态 调度 器 通常 被 统 
称 为 在 线 调 度 器 (on-line scheduler) 。 

当然 ， 还 可 能 有 其 他 调度 器 设计 。 例 如 ， 对 每 个 任务 的 分 配 可 能 只 进行 一 次 ， 并 且 是 在 
运行 时 第 一 次 执行 任务 之 前 完成 ， 对 于 相同 任务 的 后 续 执 行 都 使 用 相同 的 分 配 。 而 某 些 组 合 
并 没有 太 大 意义 。 例 如 ， 在 设计 阶段 确定 任务 的 执行 时 间 以 及 在 运行 时 确定 执行 顺序 这 一 组 
合 就 是 没有 意义 的 。 

抢先 式 (preemptive) 调度 器 可 以 在 任务 执行 期 间 做 出 调度 决策 ， 给 当前 处 理 右 分 配 一 
个 新 任务 。 也 就 是 说 ， 在 一 个 任务 执行 的 过 程 中 ， 调 度 器 可 以 停止 其 执行 并 开始 执行 另 一 个 
任务 。 对 第 一 个 任务 的 中 断 被 称 为 抢先 。 在 向 处 理 器 分 配 下 一 个 要 执行 的 任务 之 前 ， 可 以 保 
证 该 处 理 器 上 当前 任务 完成 运行 的 调度 器 即 非 抢 先 式 (non-preemptive) jal A. 

在 抢先 式 调度 中 ， 如 果 一 个 任务 尝试 获取 一 个 不 可 用 的 互 斥 锁 ， 该 任务 就 可 能 被 抢先 。 
当 这 一 情形 发 生 时 ， 就 说 该 任务 在 该 锁 上 被 阻塞 (blocked)。 当 另外 一 个 任务 释放 了 锁 后 ， 
被 阻塞 的 任务 才 可 以 恢复 执行 。 另 外 ， 一 个 任务 在 释放 锁 时 可 能 会 被 抢先 。 例 如 ， 当 一 个 较 
高 优先 级 的 任务 被 阻塞 在 这 个 锁 上 时 就 可 能 出 现 这 一 情形 。 在 本 章 ， 我 们 假设 所 有 程序 都 是 
结构 良好 的 ， 其 中 任何 获取 到 锁 的 任务 最 终 都 会 释放 该 锁 。 


12.1.2 任务 模型 

调度 器 要 进行 决策 ， 就 需要 具有 关于 程序 结构 的 一 些 信息 。 通 常 ， 假 设 调度 需 管 理 一 个 
有 限 的 任务 集合 7， 每 个 任务 可 以 是 有 限 的 (在 有 限时 间 内 结束 ) 或 无 限 的 。 操 作 系 统 调度 
器 通常 不 会 假定 任务 会 结束 ， 但 实时 调度 器 经 常 如 此 。 调 度 器 可 能 会 做 出 很 多 关于 任务 的 假 
设 ， 在 本 节 将 讨论 一 部 分 该 内 容 。 这 组 假设 被 称 为 调度 融 的 任务 模型 (task model), 

有 些 调 度 器 假设 在 调度 开始 之 前 所 有 要 被 执行 的 任务 都 是 已 知 的 ， 还 有 一 些 文 持 到 达 
的 任务 (arrival of task)， 这 意味 着 在 其 他 任务 正在 执行 时 这 组 任务 对 调度 器 才 可 以 是 已 知 
的 。 在 有 些 调 度 器 中 ， 每 个 任务 rz E 7 了 可 能 无 限 重复 执行 ， 也 可 能 周期 性 重复 执行 。 任 务 
可 能 是 偶发 的 ( sporadic)， 这 意味 着 任务 以 不 规律 的 时 间 进 行 重复 ,但 其 两 次 执行 之 间 有 具有 
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一 个 时 间 下 界 。 在 任务 + E 7 重复 执行 的 情形 中 ， 我们 需要 区 别 任 务 + 及 其 任务 执行 ( task 
execution) t,t,,…。 如 果 每 个 任务 只 执行 


一 次 ， 就 不 需要 这 样 区 分 了 。 响应 时 间 o， | 
( precedence constraint)， 即 要 求 一 个 任务 | a, A 
的 执行 要 先 于 另 一 个 任务 。 如 果 任 务 执行 。 {fg 执行 | 

i 必须 在 任务 执行 j 之 前 ， 可 以 写成 i < j。 i 





这 里 , i 和 j 可 能 是 同一 任务 的 不 同 执行 ， | 
也 可 能 是 不 同 任务 的 执行 。 
任务 执行 i 的 开始 或 恢复 执行 可 能 具 = T t z 
有 一 些 先决 条 件 (precondition), m#e% = a g i 最 
gt Ki S 5 ci e 


件 必 须 在 任务 可 以 执行 之 前 被 满足 。 当 这 
些 先决 条 件 被 满足 时 ， 就 说 该 任务 执行 是 
被 使 能 的 ?>。 例 如， 优先 顺序 指定 了 任务 开 
始 执 行 的 先决 条 件 ， 锁 的 可 用 性 可 以 是 恢复 一 个 任务 的 先决 条 件 等 。 

接 下 来 ,我 们 定义 图 12-1 中 归纳 的 一 些 名 词 。 

对 于 任务 执行 二 定义 释放 时 间 r, (release time， 也 称 为 到 达 时 间 ，arrival time) 是 一 个 
任务 被 使 能 的 最 早 时 间 。 定 义 开 始 时 间 s, (start time) 是 该 任务 真正 开始 执行 的 时 间 。 显 然 ， 
必须 满足 如 下 要 求 。 


图 12-1 任务 执行 相关 的 时 间 因 素 


DSR 
定义 结束 时 间 f (finish time) 是 任务 执行 完成 的 时 间 ， 其 与 开始 时 间 有 如 下 关系 。 
Si = Si 
响应 时 间 o, (response time) 的 定义 如 下 。 显 然 ， 响 应 时 间 就 是 任务 第 一 次 被 使 能 到 任 
务 完成 执行 之 间 所 消耗 的 时 间 。 
=f -F 
T; 的 执行 时 间 e; 是 指 任务 真正 执行 的 时 间 ,， 不 包括 任务 被 阻塞 或 抢先 的 任何 时 间 。 很 多 
调度 策略 假设 (通常 不 现实 地 ) 一 个 任务 的 执行 时 间 是 已 知 且 固定 的 。 如 果 执 行 时 间 是 可 知 
的 ， 通常 就 会 假设 (不 现实 地 ) 最 坏 执 行 时 间 ( Worst-Case Execution Time, WCET) 是 已 知 
的 。 一 般 而 言 ， 确 定 软件 的 执行 时 间 会 是 非常 具有 挑战 性 的 ， 参见 第 16 章 中 的 讨论 。 
截止 期 d, (deadline) 是 任务 必须 完成 执行 的 时 间 。 有 有 时， 截止 期 是 应 用 所 要 求 的 物理 
时 间 约 束 ， 在 该 应 用 中 错过 截止 期 被 认为 是 错误 的 ， 这样 的 截止 期 被 称 为 硬 截 止 期 ( hard 
deadline)。 基 于 便 截 止 期 的 调度 被 称 为 硬 实时 调度 (hard real-time scheduling) 。 
通常 ， 有 些 截 止 期 反映 了 一 个 不 需 严 格 遵守 的 设计 要 求 : 最 好 是 满足 截止 期 ， 但 错过 截 
止 期 也 不 会 引发 错误 。 在 一 般 情 况 下 ， 最 好 不 要 超过 截止 期 太 久 。 用 于 这 种 情形 的 调度 是 软 
实时 调度 (soft real-time scheduling), 
调度 器 也 可 能 使 用 优先 级 ( priority) 而 不 是 (或 除了 ) 截止 期 。 基 于 优先 级 的 调度 器 假 
设 每 个 任务 被 分 配 了 一 个 称 为 优先 级 的 数字 ， 而 且 调 度 器 总 是 选择 执行 具有 最 高 优先 级 的 任 
务 (通常 数字 最 小 )。 静 态 优先 级 (fixed priority) 是 指 在 任务 的 整个 执行 过 程 中 优先 级 不 变 。 


© enabled, 任务 调度 中 通常 称 为 就 绪 。 一 一 译 者 注 
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而 动态 优先 级 (dynamic priority) 则 允许 在 任务 执行 期 间 改 变 其 优先 级 。 

基于 优先 级 的 抢先 式 调度 器 (preemptive priority-based scheduler) 支持 任务 的 动态 到 来 ， 
并 一 直 执 行 就 绪 任 务 中 优先 级 最 高 的 任务 。 基 于 优先 级 的 非 抢先 式 调度 器 ( non-preemptive 
priority-based scheduler) 依据 优先 级 来 选择 当前 任务 执行 完成 之 后 将 要 执行 的 任务 , 但 从 不 
中 断 一 个 任务 的 执行 来 调度 另 一 个 任务 。 
12.1.3 调度 器 比较 

调度 策略 的 选择 取决 于 应 用 目标 所 考虑 的 因素 。 一 个 最 简单 的 目标 是 所 有 任务 执行 都 满 
ERII, BIA S< d;。 实 现 这 一 目标 的 调度 被 称 为 可 行 的 调度 (feasible schedule)。 对 于 
存在 一 个 可 调度 方案 的 任何 任务 集 (符合 任务 模型 )， 如 果 调 度 器 都 能 给 出 可 调度 方案 ， 就 
说 该 调度 需 是 最 优 可 调度 的 。 

用 于 比较 调度 算法 的 一 个 标准 是 可 达到 的 处 理 器 利用 率 (utilization), AHH KEHA 
用 于 执行 任务 (相对 于 空闲 状态 ) 的 时 间 的 百分比 ， 这 一 度量 对 于 周期 性 执行 的 任务 最 为 有 
用 。 在 处 理 器 利用 率 低 于 或 等 于 100% 时 ， 能 够 提供 可 调度 方案 的 调度 算法 显然 是 最 优 可 调 
度 的 。 其 仅 在 所 有 调度 算法 都 得 不 出 可 调度 方案 的 情形 下 才 不 能 提供 一 个 可 调度 方案 。 

可 用 于 比较 调度 器 的 另 一 个 标准 是 最 大 延迟 ( lateness), 一 组 任务 执行 了 上 的 最 大 延迟 
定义 为 如 下 形式 。 

Lax = max (f,—d,) 


对 于 一 个 可 调度 方案 ， 该 值 为 0 或 负数 。 当 然 ， 最 大 延迟 也 可 被 用 于 比较 不 可 行 的 调度 
方案 。 对 于 软 实时 间 题 ， 该 值 为 正 值 且 只 要 该 值 不 要 变 得 太 大 就 是 可 以 忍受 的 。 

第 三 个 可 用 于 任务 执行 有 限 集 T 的 标准 是 总 完成 时 间 (total completion time) 或 者 最 大 
完成 时 间 (makespan)， 由 下 式 定 义 。 


M = max f,- miny, 
ief ieT 


如 果 调 度 的 目标 是 使 最 大 完成 时 间 最 小 ， 实 际 上 这 更 多 体现 的 是 性 能 目标 而 不 是 实时 
要 求 。 


12.1.4 ”调度 器 的 实现 


调度 器 可 能 是 编译 器 或 者 代码 生成 器 的 一 部 分 (对 于 设计 阶段 要 做 出 调度 决策 而 言 )， 
也 可 能 是 操作 系统 或 微 内 核 的 组 成 (对 于 运行 时 做 出 调度 决策 而 言 )， 或 者 两 者 都 是 (调度 决 
策 在 设计 阶段 和 运行 时 都 有 )。 

运行 时 调度 器 通常 以 线程 (或 进程 ， 在 这 里 不 考虑 二 者 的 区 别 ) 来 实现 任务 。 有 时 ， 调 
度 器 假设 线程 都 在 有 限时 间 内 完成 ， 有 时 则 不 做 这 样 的 假设 。 在 任 一 情形 下 ， 调 度 器 都 是 在 
特定 时 间 进 行 调度 操作 的 函数 。 对 于 非常 简单 的 非 抢先 式 调度 器 ， 在 一 个 任务 完成 时 该 调度 
函数 会 被 调用 。 而 对 于 抢先 式 调度 器 ， 调 度 函 数 会 在 如 下 任何 情形 发 生 时 被 调用 。 

e 定时 器 中 断 到 来 ， 如 在 一 个 jiffy 时 间 间 隔 上 。 

© 1/0 中 断 到 来 。 

© 一 个 操作 系统 服务 被 调用 。 

© 任务 尝试 获取 一 个 互 斥 锁 。 

e 任务 检测 一 个 信号 量 。 
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对 于 中 断 引 发 的 调度 情形 ， 该 调度 函数 会 被 中 断 服务 例 程 调用 。 在 其 他 情形 下 ， 调 度 函 
数 被 提供 调度 服务 的 操作 系统 函数 所 调用 。 在 所 有 这 些 情形 下 ， 栈 中 包含 了 恢复 执行 所 需要 
的 信息 。 然 而 ， 调 度 器 也 可 能 不 是 简单 地 选择 恢复 执行 ， 即 可 能 并 不 选择 立即 从 中 断 或 服务 
函数 返回 ， 相 反 地 ， 其 选择 抢先 当前 正在 执行 的 任务 并 开始 或 恢复 男 一 个 任务 。 

为 了 实现 这 种 抢先 机 制 ， 调 度 器 需要 记录 任务 被 抢先 的 情况 (可 能 的 话 ， 包 括 为 什么 被 
抢先 )， 以 便于 之 后 可 以 恢复 该 任务 。 之 后 ， 调 度 器 可 以 调整 栈 指 针 来 获取 要 开始 或 恢复 执 
行 的 任务 的 状态 。 此 时 ,执行 返 回 操作 时 并 不 恢复 被 抢先 任务 的 执行 ， 而 是 恢复 男 一 个 任务 
的 执行 。 

抢先 式 调度 器 的 实现 非常 具有 挑战 性 ， 其 涉及 非常 细致 的 并 发 控制 。 例 如 ， 对 于 该 过 程 
中 的 重要 部 分 可 能 需要 禁止 中 断 ， 以 避免 其 因 栈 被 破坏 而 结束 。 这 也 是 为 什么 调度 是 操作 系 
统 内 核 或 微 内 核 中 一 个 最 核心 功能 的 原因 。 调 度 器 的 实现 质量 对 系统 的 可 靠 性 和 稳定 性 有 着 
重要 影响 。 


12.2 单调 速率 调度 


假设 有 nn 个 任务 天 fr Ta +, 区}， 这 些 任 务必 须 周期 性 地 执行 。 具 体 来 讨 ， 假设 任务 t 
必须 在 每 个 时 间 间 隔 p; 内 完成 一 次 执行 ， 即 将 pi 作为 该 任务 的 周期 (period)。 由 此 ， 任 务 7, 
的 第 j 次 执行 的 截止 期 就 是 7, tpo HP r 是 第 一 次 执行 的 释放 时 间 。 

Liu 等 ( 1973 ) 已 经 给 出 ， 对 于 上 述 任务 模型 ， 被 称 为 单调 速率 调度 (Rate Monotonic 
Scheduling, RM 或 RMS) 的 简单 抢先 式 调 度 策 略 是 单 处 理 需 静态 优先 级 调度 器 中 最 优 可 调 
度 的 。 该 调度 策略 为 较 小 周期 的 任务 分 配 一 个 较 高 优先 级 。 

该 问题 的 最 简单 形式 如 图 12-2 所 示 ， 两 个 任务 7={fz, za， 它们 的 执行 时 间 分 别 为 e, 和 
e， 周 期 分 别 为 记 和 产 。 图 中 ,任务 于 的 执行 时 间 e, 比 任务 7, 的 周期 六 长 。 由 此 ， 如 果 两 
个 任务 在 同一 个 处 理 器 上 执行 ,那么 很 显然 ， 依 据 非 抢先 式 调度 器 将 得 不 到 一 个 可 调度 方 
案 。 如 果 任 务 n 必须 不 被 中 断 地 执行 完 ， 那 么 任务 zt 就 会 错过 某 些 截止 期 。 
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图 12-2 ”两 个 周期 任务 T=in, ts} (任务 的 执行 时 间 分 别 为 e, 和 e,， 周 期 分 别 为 p, 和 p, ) 
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图 12-3 给 出 了 遵循 单调 速率 原理 的 抢先 式 调 度 。 图 中 ,任务 的 周期 较 小 ， 其 拥有 较 
高 的 优先 级 。 因 此 ， 任 务 rn 在 每 个 周期 间隔 的 开始 执行 ， 而 不 考虑 王 是 否 正在 执行 。 如 果 
任务 亏 正 在 执行 ,将 对 其 进行 抢先 。 假 设 执行 抢先 操作 所 需 的 时 间 ( 即 上 下 文 切 换 时 间 ) 
是 可 以 忽略 的 >。 这 一 调度 在 图 中 是 可 行 的 ， 然 而 ， 如 果 任 务 = 具有 更 高 的 优先 级 ， 那 么 该 
调度 就 是 不 可 行 的 。 


O 上 下 文 切 换 时 间 可 以 忽略 这 一 假设 在 实际 中 是 有 问题 的 。 在 具有 Cache 的 处 理 器 上 ， 上 下 文 切换 通常 会 引起 
Cache 相关 的 大 量 延迟 。 男 外 ， 用 于 上 下 文 切 换 的 操作 系统 开销 会 相当 大 
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图 12-3 ”抢先 式 调度 时 的 两 个 周期 任务 T={n, n}, 


对 于 这 个 双 任 务 的 情况 ， 很 容易 证 明 在 假 
设 忽略 上 下 文 切换 时 间 的 任务 模型 下 ， 单 调 速 
率 调度 是 所 有 静态 优先 级 抢先 式 调度 右 中 最 优 
可 调度 的 。 这 很 容易 证 明 ， 因 为 在 这 个 简单 情 
形 下 仅 有 两 个 静态 优先 级 调度 ， 单 调 速率 调度 
为 任务 rn 分 配 了 较 高 的 优先 级 ， 而 非 单调 速率 
调度 为 任务 亏 分 配 了 较 高 的 优先 级 。 为 了 证 明 
最 优 性 ， 我 们 只 需要 简单 地 证 明 如 果 非 单调 速 
率 调度 是 可 行 的 ， 那么 单调 速率 调度 也 是 可 行 
的 。 在 此 之 前 ， 我 们 需要 考虑 影响 可 行 性 的 任 
务 执行 的 可 能 排列 。 如 图 12-4 所 示 ， 当 低 优先 
级 任务 的 启动 时 机 与 高 优先 级 任务 的 相同 时 ， 
其 响应 时 间 是 最 坏 的 。 也 就 是 说 ， 当 所 有 任务 
在 相同 时 间 开 始 自己 的 执行 周期 时 ， 最 坏 情形 


就 会 出 现 。 因 此 ， 我 们 也 就 仅 需要 考虑 这 种 情形 。 


在 最 坏 情 形 下 ， 任 务 的 释放 时 间 完 全 相同 ， 
那么 ， 当 且 仅 当 式 (12.1 ) 被 满足 时 非 单调 速 
率 调 度 才 是 可 行 的 。 

e+e Spi (12.1) 

图 12-5 中 给 出 了 这 个 情形 。 由 于 任务 mn 被 
任务 一 抢 先 ， 为 了 让 任务 nm 不 错过 截止 期 ， 就 
BRK e < pen WEES n fe WES t E 
下 保证 在 截止 期 之 前 完成 执行 的 足够 时 间 。 

为 了 证 明 单 调 速 率 调度 是 最 优化 可 调度 的 ， 
我 们 仅 需 要 证 明 如 果 非 单调 速率 调度 是 可 行 
的 ,那么 单调 速率 调度 也 会 是 可 行 的 。 再 来 看 
图 12-6， 很 明显 如 果 式 〈12.1 ) 被 满足 ， 那 么 
单调 速率 调度 是 可 行 的 。 由 于 这 仅 是 两 个 静态 
优先 级 的 调度 ， 单 调 速率 调度 就 是 可 调度 性 最 
优 的 。 该 证 明 方 法 可 被 推广 到 任意 数量 的 任务 ， 
并 形成 如 下 定理 (Liu and Layland, 1973 ) 。 


给 定 一 个 抢先 式 、 痊 态 优先 级 
的 调度 器 以 及 一 个 重复 执行 任务 的 有 限 集 Tn, 
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”最 坏 响 应 时 间 : o 


图 12-4 MES n 与 任务 mn 在 同一 时 间 开 始 
F, g 的 响应 时 间 o 是 最 坏 的 
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图 12-5 非 单调 速率 调度 为 任务 己 分 配 较 
高 的 优先 级 〈 当 且 仅 当 e, +e. Sp, 
时 ， 其 才 是 可 行 的 ) 
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图 12-6 单调 速率 调度 为 任务 分 配 较 高 的 
优先 级 。 要 使 单调 速率 调度 是 可 行 
WW, ete, < pi 是 充分 但 非 必要 的 
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Tos 75 Ths AEA BY EER Po Po s Pn 且 任 务 间 没 有 优先 序 约束 。 如 果 任 一 优先 级 分 配 
都 能 生成 一 个 可 调度 方案 ,那么 单调 速率 优先 级 分 配 就 会 生成 一 个 可 调度 方案 。 


由 此 ， 就 可 以 容易 地 在 一 个 以 所 有 任务 周期 的 最 大 公约 数 为 时 间 间 隔 的 定时 器 中 断 中 实 
现 单调 速率 调度 。 当 然 ， 也 可 以 在 多 个 定时 器 中 断 中 实现 单调 速率 调度 。 
实际 情况 是 . 单调 速率 调度 器 通常 不 能 达到 100% 的 CPU 利用 率 。 特 别 是 ， 单 调 速率 
调度 器 被 限制 应 用 于 静态 优先 级 任务 。 这 个 约束 导致 可 调度 任务 集 的 CPU 利用 率 低 于 100% 
旦 不 能 容忍 任何 的 执行 时 间 增 加 或 周期 减 小 。 这 意味 着 在 不 会 引起 截止 期 错过 时 将 会 有 空闲 
的 处 理 器 周期 不 能 被 利用 。 习 题 3 给 出 了 这 样 的 一 个 示例 。 
幸运 的 是 ，Liu 和 Layland (1973) 已 经 证 明 该 影响 是 有 限 的 。 首 先 ， 对 于 执行 时 间 为 
en HAWX p hn AIRES, HE CPU 利用 率 可 写 为 : 
be 
wd 
WR w= 1, 那么 此 时 处 理 器 是 100% 被 占用 的 。 很 显然 ， 如 果 对 于 任何 任务 集 有 人 > 1, 
那么 ， 该 任务 集 上 就 没有 可 行 的 调度 方案 。Liu 和 Layland (1973) 中 已 经 证 明 ， 如 果 人 小 于 
或 等 于 由 式 (12.2 ) 给 出 的 利用 率 上 限 ， 那 么 单调 速率 调度 就 是 可 行 的 。 
un(2" -1) (12.2 ) 
为 了 理解 这 个 (相当 重要 的 ) 结果 ,我 们 来 分 析 一 些 特殊 情形 。 首 先 ， 如 果 n=1 ( 仅 有 
一 个 任务 )， 那么 n{2” -1)=1， 这 个 结果 告诉 我 们 如 果 利 用 率 小 于 或 等 于 100%， 那 么 这 个 
RM 调度 就 是 可 行 的 。 这 里 显然 成 立 ， 因 为 仅 有 一 个 任务 的 情况 下 ,y=ei/p!/， 只 要 el <p, 
截止 期 就 会 被 满足 
如 果 n=2， 那 么 4(2” -1) 寺 0.828。 由 此 ， 如 果 有 具有 两 个 任务 的 任务 集 不 会 尝试 使 用 超 
过 82.8% 的 可 用 处 理 器 时 间 ，RM 调度 将 会 满足 所 有 截止 期 。 
随 着 n 不 断 增 大 ， 利 用 率 上 限 将 达到 In(2) ~ 0.693， 具 体 计算 方式 如 下 : 
limn(2"" —1)=In(2)~ 0.693 


这 意味 着 ， 如 果 一 个 有 任意 数量 任务 的 任务 集 不 尝试 使 用 超过 69.3% 的 可 用 处 理 器 时 
lis], 那么 RM 调度 就 可 以 满足 所 有 的 截止 期 。 

在 下 一 他， 我 们 将 放宽 静态 优先 级 这 一 限制 ， 并 将 证 明 在 动态 优先 级 调度 需 可 以 达到 更 
高 CPU 利用 率 的 意义 上 ,动态 优先 级 调度 器 较 静 态 优先 级 调度 器 会 更 好 。 其 代价 是 更 复杂 
的 实现 。 


12.3 ”最 早 截止 期 优先 调度 


给 定 一 个 具有 截止 期 、 没 有 优先 序 约束 的 非 重复 任务 有 限 集 ， 一 个 简单 的 调度 算法 就 是 
最 早 到 期 ( Earliest Due Date, EDD) 算法 ， 也 称 为 Jackson 算法 〈Jackson，1955 )。 最 早 到 
期 优先 策略 采用 与 任务 截止 期 顺序 相同 的 调度 顺序 来 执行 一 组 任务 ， 截 止 期 最 早 的 任务 最 先 
执行 。 如 果 两 个 任务 拥有 相同 的 截止 期 ， 那 么 它们 的 相对 顺序 并 不 会 成 为 问题 。 


GERD 给 定 一 个 非 重 复 任务 的 有 限 集 了 ={ri, ta Tt,} ， 每 个 任务 的 截止 期 为 di, dp 
=, 山 且 任务 间 没 有 优先 序 约 束 ， 在 最 小 化 最 大 政 迟 的 意义 上 ，EDD 调度 较 其 他 所 有 可 能 的 
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任务 排序 而 言 是 最 优 的 。 


证 明 这 个 定理 很 容易 用 简单 的 交换 论证 (interchange argument) 方法 来 证 明 。 考 虑 一 
个 不 是 EDD 的 任意 调度 。 在 该 调度 中 ， 由 于 其 不 是 最 早 到 期 优先 ， 所 以 必须 有 两 个 任务 
fir Hy KEEK, Bd <d, mraz. 


任务 让 任务) | 


0 Š f d d 


由 于 这 些 任 务 都 是 独立 的 〈( 即 没有 优先 约束 )， 调 换 这 两 个 任务 的 顺序 就 会 产生 另 一 个 
有 效 的 调度 ， 如 下 。 


| 任务 / | 任务 1 


0 fi, fi d d 


我 们 可 以 证 明 ， 这 个 新 调度 的 最 大 延迟 并 不 超过 原来 调度 的 最 大 延迟 。 如 果 我 们 重复 上 
面 的 互 换 直到 不 能 找 出 适合 该 互 换 的 任务 ， 那 么 我 们 就 构建 了 一 个 EDD 调度 。 由 于 这 个 调 
度 的 最 大 延迟 不 大 于 原 调度 的 最 大 延 训 ， 因 此 ，EDD 调度 的 最 大 延迟 是 所 有 调度 中 最 小 的 。 

为 了 证 明 第 二 个 调度 的 最 大 延迟 不 会 大 于 第 一 个 调度 的 最 大 延迟 ， 首 先 请 注意 如 果 最 大 
延迟 是 由 其 他 任务 决定 的 而 不 是 二 和 二 ， 那 么 这 两 个 调度 就 有 相同 的 最 大 延迟 。 

否则， 下 式 肯 定 是 第 一 个 调度 的 最 大 延迟 。 其 中 ， 后 面 的 等 式 很 显然 与 图 是 相符 的 ， 且 
HASS Sf d, < d, ty RE Io 

Lax = max (fd, f-d,) =f-d, 

第 二 个 调度 的 最 大 延迟 由 下 式 给 出 : 

Li... =max(f’-d,, f/-d,) 

再 考虑 以 下 两 种 情形 。 

情形 1 : Lx = /fr-di。 在 这 个 情形 下 ， 由 于 f'=f， 就 可 以 得 出 如 下 最 大 延迟 时 间 。 其 
中 ， 后 面 的 不 等 式 是 由 4d) 过 d; 产 生 的 ， 因 此 ,Li 入 Lino 

Lax =fd; < fd 
情形 2 : Li=f'-d。 此 时 ， 由 于 fr 三 fj， 就 可 以 有 如 下 不 等 式 。 再 一 次 可 得 出 
J ae 
Linx < fd 
在 这 两 种 情形 下 ， 第 二 个 调度 的 最 大 延迟 都 不 会 大 于 第 一 个 调度 的 最 大 延迟 。 
= 

EDD 也 是 可 调度 性 最 优 的 ， 因 为 其 最 小 化 了 最 大 延迟 时 间 。 然 而 ，EDD 不 支持 任务 的 

到 来 ， 因 此 也 不 支持 周期 性 任务 或 任务 的 重复 执行 。 幸 运 的 是 ， 可 以 很 容易 对 EDD 进行 扩 


展 以 支持 这 些 特 性 ， 从 而 也 就 产生 了 最 早 截止 期 优先 ( Earliest Deadline First, EDF) 或 称 为 
Horn 算法 (Horn, 1974). 


GERD 给 定 由 ,个 独立 任务 组 成 的 任务 集 TT, np, …, zj， 每 个 任务 的 截止 期 为 
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di, dn …, d, 且 到 达 时 间 任 意 ， 在 任何 时 候 都 执行 所 有 到 来 任务 中 截止 期 最 小 任务 的 任何 算 
法 都 是 最 小 化 最 大 延 记 最 优 的 。 


该 定理 的 证 明 可 以 使 用 类 似 的 交换 论证 方法 。 男 外 ， 该 结论 也 可 以 很 容易 地 扩展 到 支持 
数量 不 限 的 任务 到 达 。 这 个 留 作 练 习题 ， 感 兴趣 的 读者 可 尝试 证 明 。 

请 注意 ，EDF 是 一 个 动态 优先 级 调度 算法 。 如 果 一 个 任务 被 重复 地 执行 ， 在 每 一 次 执行 
时 其 可 能 被 分 配 不 同 的 优先 级 ， 这 会 使 其 实现 变 得 更 加 复杂 。 典 型 地 ， 对 于 周期 性 任务 ， 截 
止 期 就 是 任务 周期 的 结束 ， 当 然 也 可 以 为 任务 采用 其 他 截止 期 。 

尽管 EDF 较 单调 速率 调度 的 实现 成 本 更 高 ， 但 是 ,实际 中 它 的 性 能 通常 也 更 为 出 众 
(Buttazzo，2005b)。 首 先 ， 单调 速率 调度 仅 在 静态 优先 级 调度 占 中 是 可 调度 性 最 优 的 ， 然 而 
EDF 在 动态 优先 级 调度 器 中 是 可 调度 性 最 优 的 ， 另 外 EDF 也 最 小 化 了 最 大 延迟 时 间 。 其 次 ， 
在 实际 中 EDF 引起 的 抢先 更 少 (见习 题 2 )， 这 意味 着 上 下 文 切换 的 开销 更 低 ， 这 通常 对 更 
大 的 实现 复杂 度 进行 了 补偿 。 再 者 在 利用 率 低 于 100% 时 任何 的 EDF 调度 都 能 承受 执行 时 
间 的 增加 和 /或 周期 时 间 的 减少 ， 并 仍然 是 可 调度 的 ， 这 不 同 于 单调 速率 调度 。 


具有 优先 序 的 EDF 


定理 12.2 说 明 EDF 对 于 没有 优先 序 的 任务 集 是 优化 的 (最 小 化 了 最 大 延迟 )。 然 而 ， 如 
果 有 优先 序 又 会 怎样 呢 ? 给 定 一 个 有 限 的 任务 集 ， 任 务 间 的 优先 序 可 以 被 表示 为 优先 序 图 
(precedence graph， 也 译 为 优先 图 、 前 驱 图 ) 。 


E 由 六 个 任务 组 成 的 任务 组 sie 
T={1, …, 6}， 每 个 任务 的 执行 时 间 为 e 天 1， d= 5 © 
其 优先 序 如 图 12-7 所 示 。 该 图 表示 ， 任 务 1 Og as 
必须 在 任务 2 或 3 中 的 任意 一 个 之 前 执行 ， 任 a2 OA 
务 2 必须 在 任务 4 和 5 之 前 执行 ， 任 务 3 必须 dz4 O 


在 任务 6 之 前 执行 。 图 中 给 出 了 每 个 任务 的 截 d=6 
EM, EDF AKH “EDF” 标 出 。 由 于 任务 4 =F CEES 
2 


错过 其 截止 期 ， 这 个 调度 是 不 可 行 的 。 然 而 ， LOF [ov | asa pe 
仍然 存在 一 个 可 行 的 调度 方案 ， 图 中 标记 为 Epr" ey I PT 


LDF 的 调度 可 以 满足 所 有 的 截止 期 。 | E T i 
0 4 6 
前 一 示例 表明 ， 如 果 存 在 优先 序 关系 ， 图 12-7 六 个 任务 的 优先 序 图 及 三 个 调度 策略 
EDF 就 不 是 最 优化 的 。1973 年 ,Lawler( 1973 ) 下 的 调度 示例 (每 个 任务 只 执行 一 个 
提出 了 一 个 对 于 优先 序 任务 最 优化 的 简单 算 时 间 单元 ) 


法 ， 其 最 小 化 了 最 大 延迟 。 该 策略 非常 简单 。 

给 定 一 个 固定 的 、 具 有 截止 期 的 有 限 任 务 集 ，Lawler 的 策略 构建 了 后 向 调度 9 ， 首 先 选择 最 
后 的 任务 。 要 选择 的 最 后 任务 满足 的 条 件 是 ， 没 有 被 其 他 任务 依赖 且 具 有 最 晚 的 截止 期 。 该 
算法 持续 后 向 地 构造 该 调度 ， 每 次 从 依赖 者 已 经 被 调度 的 任务 中 选择 一 个 截止 期 最 晚 的 。 对 
于 之 前 的 示例 ， 图 12-7 中 标识 为 “LDF” 的 调度 是 可 行 的 。Lawler 算法 被 称 为 最 晚 截止 期 
优先 (Latest Deadline First, LDF). 


O 即 从 调度 队列 末尾 向 前 操作 ， 但 调度 时 依然 是 从 前 往 后 选择 。 一 一 译 者 注 
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在 最 小 化 最 大 延迟 的 意义 上 ，LDF 是 最 优化 的 ， 由 此 它 也 是 最 优 可 调度 的 。 然 而 ， 其 不 
支持 任务 的 到 来 。 幸 运 的 是 ，Chetto 等 人 (1990 ) 提出 了 EDF 的 一 个 简单 修改 算法 。EDF* 
(支持 优先 序 的 EDF) 支持 任务 动态 到 来 且 最 小 化 最 大 延迟 。 在 该 修改 版 中 ， 我 们 调整 所 有 
任务 的 截止 期 。 假 设 任务 的 集合 为 T， 对 于 一 个 任务 执行 i E 7T, 令 D(i)cT 是 优先 序 图 中 依 
赖 于 i 的 任务 执行 的 集合 。 对 于 所 有 执行 i € 7， 我们 定义 如 下 一 个 修改 的 截止 期 

d= min| 4， min (d; =e, ) 
除了 使 用 修改 的 截止 期 之 外 ，EDF* 与 EDF 非常 相似 


GEE Aa 12-7 中 可 以 看 到 EDF* 调度 与 LDF 调度 相同 ， 修 改 的 截止 期 如 下 
d=), = 


关键 在 于 ， 任 务 2 的 截止 期 已 经 从 5 修改 到 2， 反映 出 该 任务 的 后 继 都 有 较 早 的 截止 
期 。 这 使 得 EDF* 在 调度 任务 3 之 前 调度 任务 2， 最 终 产生 一 个 可 行 的 调度 ， 








EDF* 可 以 被 看 作 一 种 使 截止 期 合理 化 的 技术 。 该 算法 并 非 接受 给 定 的 任意 截止 期 ， 而 
是 确保 任务 的 截止 期 要 考虑 其 后 继任 务 的 截止 期 。 在 该 例 中 ,使 任务 2 的 截止 期 是 较 其 后 继 
任务 更 晚 的 时 间 (5) 基本 没有 意义 ， 因 此 EDF* 会 在 使 用 EDF 调度 之 前 纠正 这 一 现象 


12.4 调度 与 互 斥 


尽管 截至 目前 所 给 出 的 算法 理解 起 来 都 不 复杂 ,但 其 在 实际 中 的 效果 可 远 不 是 那么 简单 
的 ， 经 常会 让 系统 设计 人 员 感 到 惊讶 。 尤 其 是 在 任务 共享 资源 并 使 用 互 斥 机 制 来 控制 对 这 些 
资源 的 访问 时 ， 会 经 常 如 此 。 


12.4.1 优先 级 翻转 

原则 上 ， 基 于 优先 级 的 抢先 式 调度 器 会 一 直选 择 就 绪 的 高 优先 级 任务 进行 调度 。 然 而 ， 
当 使 用 互 斥 机 制 时 ， 任 务 可 能 会 在 执行 期 间 被 阻塞 。 如 果 调 度 算法 不 考虑 这 一 可 能 性 ， 就 会 
出 现 严重 的 后 果 。 


GARD 6 12-8 所 示 是 1997 年 7 月 4 日 着 陆 在 火星 表面 的 火星 探 路 者 。 在 任务 运 
行 的 一 段 时 间 里 ， 探 路 者 开始 不 定期 地 错过 截止 期 ， 并 引起 整个 系统 的 复位 ， 每 次 都 有 数 
据 丢 失 。 地 面 工 程 师 最 终 诊断 出 是 发 生 or ma 
了 优先 级 翻转 问题 ， 即 一 个 低 优 先 级 气 
象 任务 持 有 一 个 锁 并 阻塞 高 优先 级 任 
务 ， 从 而 使 得 中 优先 级 任务 执行 。 (来 
源 : What Really Happened on Mars? Mike 
Jones, RISKS-19.49 on the comp.program- 





ming.threads newsgroup, Dec. 07, 1997, 以 
及 What Really Happened on Mars? Glenn 
Reeves, Mars Pathfinder Flight Software > 
Cognizant Engineer, email message, Dec. 15, 图 12-8 火星 探 路 者 以 及 着 陆 器 拍摄 到 的 火星 表面 
1997.) CK É Wikipedia Commons) 
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优先 级 翻转 (priority inversion) 是 一 个 不 正常 的 调度 ， 表 现 为 高 优先 级 任务 被 阻塞 而 不 
相关 的 低 优先 级 任务 却 得 到 执行 。 图 12-9 说 明了 这 一 现象 。 图 中 ， 低 优先 级 的 任务 3 在 时 
间 1 获得 锁 。 在 时 间 2， 该 任务 被 高 优先 级 的 任务 1 所 抢先 ， 任务 1 在 时 间 3 时 因为 尝试 获 
取 该 锁 而 被 阻塞 。 然 而 ， 在 任务 3 执行 到 释放 锁 的 位 置 之 前 ， 其 将 被 不 相关 的 中 优先 级 任务 
2 所 抢先 。 任 务 2 可 以 无 时 间 限 制 地 运行 ， 从 而 阻止 更 高 优先 级 的 任务 1 执行 。 几 乎 可 以 确 
定 ， 这 种 情况 是 不 可 取 的 。 


= are task 1 PE __. = 


T ; m Z 
emo Ša Eom o  * 
gme Ss oo 画 


0 2 4 6 8 10 
图 12-9 优先 级 翻转 问题 
(任务 1 具有 最 高 优先 级 ， 任 务 3 优先 级 最 低 。 任 务 3 在 一 个 共享 对 象 上 获得 锁 ， 并 进入 临界 区 。 之 后 ， 其 被 
任务 1 所 抢先 ， 任 务 1 尝试 获取 锁 时 被 阻塞 。 任 务 2 在 时 间 4 抢先 任务 3， 使 得 任务 1 以 无 限 的 时 间 被 阻塞 。 从 效 
果 来 看 ， 任 务 1 和 任务 2 的 优先 级 翻转 了 ， 因 为 任务 2 可 以 让 任务 1 等 待 任意 长 的 时 间 ) 


任务 1 


12.4.2 ”优先 级 继承 协议 


1990 年 ，Sha 等 人 (1990) 给 出 了 一 个 针对 优先 级 翻转 问题 的 解决 方法 ， 称 为 优先 级 继 
承 (priority inheritance)。 在 他 们 的 解决 方案 中 ， 当 一 个 任务 在 尝试 获取 锁 时 被 阻塞 ， 那 么 ， 
持 有 该 锁 的 任务 会 继承 被 阻塞 任务 的 优先 级 。 这 样 一 来 ， 持 有 锁 的 任务 就 不 会 被 优先 级 低 于 
被 阻塞 任务 优先 级 的 任务 所 抢先 。 


图 12-10 说 明了 优先 级 继承 机 制 。 该 图 中 ， 当 任务 1 在 获取 任务 3 所 持 有 的 
锁 时 被 阻塞 ， 任 务 3 会 继续 执行 而 且 是 以 任务 1 的 优先 级 继续 执行 。 因 此 ， 当 任务 2 在 时 间 
4 就 绪 时 ， 其 不 能 抢先 任务 3。 反 之 ， 任 务 3 一 直 运行 ， 直 到 其 在 时 间 5 有 释放 了 锁 。 该 时 刻 ， 
任务 3 恢复 其 原来 优先 级 ( 低 优先 级 )， 且 任务 1 恢复 执行 。 直 到 任务 1 完成 执行 之 后 ， 任 
务 2 才能 执行 









E1 g | 
Eo ro i 
任务 2 K a: : 
,| 二 
任务 3 的 优先 级 
0 2 4 6 8 10 


图 12-10 ”优先 级 继承 协议 示例 
(任务 1 的 优先 级 最 高 ， 任 务 3 的 最 低 。 任务 3 获得 锁 并 进入 临界 区 。 任 务 1 抢先 并 在 尝试 获取 该 锁 时 阻塞 。 
任务 3 继承 任务 1 的 优先 级 ， 防 止 被 任务 2 抢先 ) 
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12.4.3 ”优先 级 天 花 板 协议 


优先 级 可 以 与 互 斥 锁 以 很 多 有 意思 的 方式 进行 交互 。 特 别 是 在 1990 年 ，Sha 等 ( 1990 ) 
已 经 阐明 可 以 使 用 优先 级 来 防止 某 些 类 型 的 死 锁 。 
ARD a 1211 给 出 了 两 个 任务 死 获得 锁 ,6 





任务 1 |b | 阻塞 在 a 上 


锁 的 情形 。 图 中 ,任务 1 有 更 高 的 优先 级 。 
在 时 间 1， 任务 2 获 得 锁 a。 在 时 间 2， 任 
务 1 抢先 任务 2 执行 ,并 在 时 间 3 获 得 锁 
b。 当 持 有 和 锁 b 时 ， 其 尝试 获取 锁 a。 由 于 a 
被 任务 2 持 有 ， 该 任务 阻塞 。 在 时 间 4， 任 
务 2 恢复 执行 。 在 时 间 5， 其 尝试 获取 任务 图 12-11 死 锁 示例 低 优先 级 任务 首先 开始 执行 
1 正在 持 有 的 锁 g。 发 生死 锁 ! 并 获得 锁 a， 之 后 被 更 高 优先 级 的 任务 


合 先 ， 其 获得 锁 5 并 在 尝试 获取 锁 a 

我 们 可 以 通过 一 个 称 为 优先 级 天 花 板 EO PU 

Wg es “x pa 时 阻塞 。 低 优先 级 任务 在 尝试 获取 锁 5 
( priority ceiling) 协议 的 技术 来 巧妙 地 防止 时 被 阻塞 ， 之 后 就 无 法 继续 运行 了 ) 
上 例 中 的 死 锁 问题 (Sha etal., 1990), TE Pe 
该 协议 中 ， 每 个 锁 或 者 信号 量 被 赋予 一 个 优先 级 天 花 板 ， 其 等 于 申请 该 锁 的 最 高 优先 级 任 
务 的 优先 级 。 仅 当 任务 + 的 优先 级 严格 地 大 于 当前 其 他 任务 所 持 有 的 全 部 锁 的 优先 级 天 花 板 
时 ,任务 + 可 以 获得 锁 a。 直观 上 ， 如 果 要 防止 任务 + 获 取 锁 a， 那么 就 要 保证 在 后 续 尝 斌 
获取 由 其 他 任务 持 有 的 锁 时 任务 将 不 会 持 有 锁 a。 这 可 以 防止 某 些 死 锁 的 出 现 。 


< 优先 级 天 花 板 协议 可 以 防止 示例 12.5 中 的 死 锁 ， 如 图 12-12 所 示 。 在 图 中 ， 
当 任务 1 尝试 在 时 间 3 获取 锁 b 时 ， 其 将 被 阻止 。 在 该 时 间 ， 锁 a 正 被 另 一 个 任务 (任务 2) 
所 持 有 。 分 配给 锁 a 的 优先 级 天 花 板 等 于 任务 1 的 优先 级 ， 因 为 任务 1 是 可 以 获得 锁 a 的 最 
高 优先 级 任务 。 由 于 任务 1 的 优先 级 并 没有 严格 大 于 这 个 优先 级 天 花 板 ， 因 此 任务 1 就 不 
能 获得 锁 b。 由 此 ， 任 务 1 被 阻塞 ， 允 许 任务 2 完成 运行 。 在 时 间 4， 任 务 2 顺利 获得 锁 b， 
且 在 时 间 5 其 释放 这 两 个 锁 。 一 旦 该 任务 释放 了 这 两 个 锁 ， 拥 有 较 高 优先 级 的 任务 1 不 再 被 
阻塞 ， 其 抢先 任务 2 并 恢复 执行 。 








优先 级 天 花 板 协 议 防止 锁定 b 


















= a = EIA 
Bg | ; 解锁 5， 之 后 解锁 < 
gi ; i 
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l 2 4 6 


图 12-12 ”优先 级 天 花 板 协议 示例 GARAF, Bila 和 4 的 优先 级 天 花 板 等 于 任务 1 的 优先 级 。 
在 时 间 3， 任 务 1 尝试 锁定 bp, 但 其 不 能 锁定 ， 因 为 任务 2 当前 持 有 优先 级 天 花 板 等 
于 任务 1 的 优先 级 的 锁 a) 


当然 ， 要 实现 优先 级 天 花 板 协议 就 要 求 提 前 确定 哪些 任务 会 访问 哪些 锁 。 一 种 简单 且 保 
守 的 策略 是 ， 检 查 每 个 任务 的 源 代码 并 列 出 代码 中 要 获取 的 锁 。 将 这 一 策略 称 为 保守 的 是 因 
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为 ， 一 个 特定 程序 可 能 会 也 可 能 不 会 执行 代码 中 的 每 一 行 ， 因 此 代码 中 出 现 了 锁 并 不 意味 着 
该 任务 必 将 尝试 获取 该 锁 。 


12.5 ”多 处 理 器 调度 


如 上 所 述 ， 在 单 处 理 器 上 调度 任务 已 经 足够 困难 了 ,在 多 处 理 器 上 进行 调度 的 难度 会 更 
大 。 考 虑 这 样 一 个 问题 : 在 有 限 数量 的 处 理 器 上 调度 具有 优先 序 的 固定 有 限 任务 集 且 要 最 小 
化 总 完成 时 间 。 虽 然 该 问题 是 一 个 NP 难 问题 ， 但 仍然 出 现 了 一 些 有 效 和 高 效 的 调度 策略 。 
最 为 简单 的 一 个 是 Hu 级 调度 ( Hu level scheduling) 算法 。 该 算法 基于 级 别 (level) 为 每 个 
任务 z 分 配 一 个 优先 级 ， 级 别 是 优先 序 图 中 从 z 到 另 一 个 不 依赖 任务 的 路 径 上 所 有 任务 的 最 
大 执行 时 间 总 和 。 有 具有 较 大 级 别 的 任务 比 具 有 较 小 级 别 的 任务 具有 更 高 的 优先 级 。 


AED 对 于 图 12-7 中 的 优先 序 图 ， 任 务 1 的 级 别 为 3， 任 务 2 和 3 的 级 别 均 为 2， 
任务 4、5 和 6 的 级 别 为 1。 因 此 ，Hnu 级 调度 器 将 给 任务 1 分 配 最 高 的 优先 级 ， 给 任务 2 和 
3 分 配 中 等 优先 级 ， 任 务 4、5、6 为 最 低 优 先 级 。 


Hu 级 调度 是 关键 路 径 (critical path) 方法 族 中 的 一 种 ， 因 为 其 强调 了 优先 序 图 中 具有 最 
大 整体 执行 时 间 的 路 径 。 尽 管 该 调度 不 是 最 优 的 ， 但 众所周知 ， 对 大 多 数 图 而 言 其 都 可 以 非 
常 接近 最 优 解 (Kohler, 1975; Adam et al.，1974 ) 。 

一 旦 任务 被 分 配 了 优先 级 ， 列 表 调 度 器 ( list scheduler) 根据 优先 级 对 这 些 任务 进行 排 
序 ， 并 在 处 理 器 变 为 可 用 时 按照 排序 列表 中 的 顺序 为 这 些 任务 分 配 处 理 器 。 


如 图 12-13 所 示 是 基于 Hu 级 调度 算法 处 理 器 A: Opa pS Le 
为 图 12-7 中 的 优先 序 图 构建 的 一 个 双 处 理 器 调度 序列 。 。 处 理 器 B， 
总 完成 时 间 为 4。 


上 一 
0 2 4 
调度 异常 图 12-13 图 12-7 中 任务 优先 序 图 
嵌入 式 系统 设计 中 最 严重 的 缺陷 之 一 是 调度 异常 的 双 处 理 器 并 行 调度 


(scheduling anomalies)， 即 由 于 系统 运行 条 件 的 微小 变化 而 出 现 意 想不到 的 或 违反 预期 的 行 
为 。 我 们 已 经 阐述 了 两 个 这 样 的 异常 ， 即 优先 级 翻转 和 和 死 锁 。 除 此 之 外 ， 还 有 很 多 其 他 蜡 
常 。 如 下 的 Richard 异常 (Graham, 1969) 很 好 地 说 明了 会 出 现 问题 的 可 能 范围 。 这 些 都 表 
明 多 处 理 器 调度 是 非 单 调 的 (non-monotonic， 即 局 部 级 别 的 性 能 提升 会 导致 全 局 性 能 下 降 )， 
以 及 脆弱 的 (brittle， 即 微小 变化 会 导致 严重 的 后 果 )。 

以 下 定理 对 Richard 异常 进行 了 总 结 。 


对 于 一 个 由 具有 静态 优先 级 、 执 行 时 间 和 优先 序 约束 的 任务 所 组 成 的 任务 
集 ， 如 果 在 固定 数量 的 处 理 器 上 根据 优先 级 进行 调度 ， 那 么 增加 处 理 器 的 数量 、 减 少 执行 时 
间 ， 或 者 弱化 优先 序 约束 都 可 以 增加 调度 的 长 度 。 


证 明 该 定理 可 由 图 12-14 中 的 例子 来 证 明 。 该 例 中 有 9 个 任务 ， 其 执行 时 间 如 图 所 
示 。 假 设 任务 都 分 配 了 优先 级 ， 且 较 小 编号 的 任务 比较 大 编号 的 任务 具有 更 高 的 优先 级 。 请 
注意 ， 这 并 不 对 应 于 一 个 关键 路 径 优先 级 分 配 ， 但 是 其 足以 证 明 该 定理 。 图 中 给 出 了 一 个 三 
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处 理 器 上 的 优先 级 调度 。 总 完成 时 间 为 12 
= O—+@ 


处 理 器 1 ee: hae e | 
处 理 器 22 ce an a 
处 理 器 3 Miba E oer 


0 2 4 6 8 10 12 14 16 


图 12-14 9 个 任务 的 优先 序 图 (编号 小 的 任务 具有 高 的 优先 级 ) 


时 间 





首先 ， 来 看 一 下 执行 时 间 全 部 减少 一 个 时 间 单 元 时 会 发 生 什 么 。 如 下 给 出 一 个 符合 优先 
级 和 优先 序 的 调度 过 程 
处 理 器 1[| 1 | 5 | 8 | 
处 理 器 2|2[4| 6 |  。 | 


处 理 器 3 


一 十 二 一 二 一 一 -一 本 一 一 > 
0 2 4 6 8 10 12 14 16 


请 注意 ， 此 时 的 总 完成 时 间 已 经 增加 到 了 13， 即 使 总 的 计算 量 已 经 显著 降低 。 由 于 很 
难 准 确 地 获取 计算 时 间 ， 所 以 这 种 脆弱 性 表现 就 会 令 人 非常 不 安 

再 来 看 一 下 ， 增 加 第 四 个 处 理 器 且 其 他 条 件 与 原 问题 保持 一 致 的 情况 下 将 会 发 生 什 么 。 
如 下 也 给 出 了 一 个 调度 过 程 。 





即使 已 经 将 原 有 计算 能 力 增加 了 33%， 但 总 完成 时 间 再 一 次 增加 (至 15 )。 
最 后 ， 再 来 看 看 通过 移 除 任务 4 和 任务 7、8 之 间 的 优先 序 来 减弱 优先 序 约束 之 后 会 发 
生 什么 情况 。 如 下 给 出 了 一 个 调度 结果 。 
处 理 器 1 1 | 8 | 9 | 


处 理 器 2 
处 理 器 3[ 3 | 7 | 6 | 
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即使 弱化 优先 序 约束 增加 了 调度 的 灵活 性 ， 但 总 完成 时 间 现 在 已 经 增加 到 了 16. BR, 
像 这 样 简单 的 基于 优先 级 的 调度 并 没有 将 这 些 弱 化 的 约束 利用 起 来 。 
a 


当 我 们 意识 到 软件 的 执行 时 间 很 难 被 准确 获取 时 ， 这 个 定理 就 非常 令 人 担忧 了 〈 见 第 16 
章 )。 调 度 策略 将 基于 近似 值 ， 而 且 运行 时 行为 可 能 会 出 乎 我 们 的 意料 。 

当 有 互 斥 锁 时 ， 就 会 出 现 另 一 种 异常 形式 。 图 12-15 给 出 了 一 个 示例 说 明 。 在 该 例 中 ， 
使 用 项 态 分 配 调度 需 将 5 个 任务 分 配给 两 个 处 理 咒 。 任 务 2 和 4 竞争 一 个 互 斥 锁 。 如 果 任 务 
1 的 执行 时 间 减 少 ,那么 任务 2 和 4 的 执行 顺序 会 翻转 ， 这 将 引起 执行 时 间 的 增加 。 在 实际 
中 ， 这 种 类 型 的 异常 是 非常 常见 的 。 


处 理 器 1| 1 | 
处 理 器 2 


Sse 
6 2 44 6 8 0 p 


处 理 器 1 
处 理 器 2 e 


E D ee ee eee ee 
0 2 4 6 8 10 12 


图 12-15 因 互 斥 锁 引 起 的 异常 (任务 1 执行 时 间 的 减少 会 导致 总 完成 时 间 的 增加 ) 


12.6 小 结 


伐 和 人 式 软件 对 时 间 特 性 的 变化 非常 敏感 ， 因 为 其 不 可 避免 地 要 与 外 部 物理 系统 进行 交 
互 。 因 此 ,设计 人 员 就 需要 非常 注意 任务 的 调度 机 制 与 特性 。 本 章 曾 述 了 实时 任务 调度 和 并 
行 调度 相关 的 基础 技术 ， 并 解释 了 可 能 会 遇 到 的 一 些 陷阱 ， 如 优先 级 翻转 以 及 调度 异常 。 了 
解 这 些 陷 阱 的 设计 人 员 将 能 够 更 好 地 预防 这 些 问 题 的 出 现 。 


延伸 阅读 
调度 是 一 个 不 断 被 深入 研究 的 主题 ,许多 基础 性 结论 可 以 追溯 到 20 世纪 50 年代。 
本 章 仅 尾 盖 了 相关 的 基础 性 技术 ,同时 省 略 了 一 些 重要 的 主题 。 就 实时 调度 方面 的 书 
籍 与 资料 而 言 ， 我 们 特别 推荐 Buttazzo ( 2005a)、Stankovic and Ramamritham ( 1988 )、 
Liu (2000 )， 其 中 Liu (2000) 很 好 地 履 盖 了 偶发 任务 的 调度 。Sha 等 人 (2004 ) 的 
“ Real time scheduling theory: A historical perspective” 是 一 篇 优秀 的 综述 文章 ，Klein et 
al. (1993) 是 一 个 实用 的 实践 指南 ，Audsley et al. (2005) Æ Œ 2005 年 以 前 静态 优先 


级 调度 技术 演化 的 优秀 文献 。 对 于 软 实 时 调度 ， 我 们 推荐 研究 1977 年 由 Douglas Jensen 
提出 的 时 间 效 用 函数 ， 其 是 克服 实时 系统 中 经 典 截 止 期 约束 有 限 表 达 性 的 一 个 有 效 方式 
(Jensen etal., 1985; Ravindran et al., 2007 ) 。 

当然 ， 还 存在 比 这 里 所 提 及 的 更 多 的 调度 策略 。 例 如 ， 截 止 期 单调 (Deadline 
Monotonic, DM) 调度 对 单调 速率 进行 了 修改 以 允许 周期 性 任务 具有 小 于 其 周期 的 
截止 期 (Leung and Whitehead，1982 ) 3% S A (Spring algorithm) 是 一 组 支持 到 
达 、 优 先 序 关系 、 资 源 约 束 、 非 抢先 属性 以 及 重要 性 级 别 的 启发 式 方法 (Stankovic and 
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Ramamritham, 1987, 1988). 

本 书 没有 涵盖 的 一 个 重要 主题 是 可 调度 性 分 析 (feasibility analysis), HRA DAT 
程序 以 确定 是 否 存 在 可 行 的 调度 方案 。 该 领域 的 很 多 工作 基础 参见 Harter (1987) 和 
Joseph and Pandya ( 1986 ) 。 

多 处 理 器 调度 也 是 一 个 被 深入 研究 的 主题 ,许多 核心 成 果 源 于 运筹 学 领域 。 关 于 该 
主题 的 书籍 有 Conway et al( 1967 ) 和 Coffman( 1976 ),Sriram and Bhattacharyya ( 2009 ) 


聚焦 于 点 入 式 多 处 理 器 ， 以 及 用 于 降低 多 处 理 器 调度 中 同步 开销 的 革新 技术 。 

同样 值得 注意 的 是 ， 很 多 项 目 都 引入 了 表达 软件 实时 行为 的 编程 语言 结构 。 其 中 最 
值得 一 提 的 是 Ada， 这 是 一 种 根据 美国 国防 部 (DoD) 的 合同 于 1977 ~ 1983 年 期 间 开 
发 的 语言 ， 其 目标 是 用 一 种 统一 的 语言 来 替换 当时 用 于 DoD 项 目 中 的 数 百 种 编程 语言 。 
Æ Lee and Gehlot ( 1985 ) 和 Wolfe et al. ( 1993 ) 中 可 以 找到 针对 实时 的 语言 结构 的 深 
入 讨论 。 








习题 


1. 本 题 研 究 静 态 优先 级 调度 。 考 虑 两 个 在 单 处 理 器 上 周期 执行 的 任务 ， 任 务 1 的 周期 m=4 且 任 务 2 的 
周期 p=6， 
(a) 令 任 务 1 的 执行 时 间 为 e =1。 请 找 出 任务 2 执行 时 间 e, 的 最 大 值 以 使 得 RM 调度 是 可 行 的 。 
(b) 令 任务 1 的 执行 时 间 为 e=1。non-RMS 是 一 个 非 RM 调度 的 静态 优先 级 调度 。 请 找 出 任务 2 执 
行 时 间 e, 的 最 大 值 以 使 得 non-RMS 调度 是 可 行 的 。 - 
(c) 针对 上 述 (a) 和 (b) 两 题 的 解 ， 请 分 别 给 出 处 理 器 的 利用 率 ， 并 说 明 哪 一 个 更 好 。 
(d) 对 于 RM WIE, EBE e, 和 e, 可 以 使 CPU 的 利用 率 为 100% ? 如 果 存 在 ， 请 给 出 一 个 示例 。 
. 本 问题 研究 动态 优先 级 调度 。 考 虑 两 个 在 单 处 理 器 上 周期 执行 的 任务 ， 任 务 1 的 周期 p,=4 且 任 务 2 
的 周期 PP=6-。 令 这 些 任 务 的 每 个 调用 的 截止 期 就 是 其 周期 。 也 就 是 说 ， 任 务 1 第 一 个 调用 的 截止 期 
为 4， 其 第 二 个 调用 的 截止 期 为 8， 以 此 类 推 。 
(a) 令 任务 1 的 执行 时 间 为 e=1。 请 找 出 任务 2 执行 时 间 e, 的 最 大 值 以 使 得 EDF 调度 是 可 行 的 。 
(b) 对 于 (a) 中 求解 得 到 的 e,， 请 将 习题 1 (a) 中 的 RM 调度 与 EDF 调度 进行 比较 。 哪 个 调度 中 的 
抢先 更 少 ? 哪个 调度 具有 更 好 的 利用 率 ? 
本 题 对 单调 速率 调度 (RM) 和 最 早 截止 期 优先 调度 (EDF) 进行 比较 。 有 周期 分 别 为 p=2 和 ps=3、 
执行 时 间 为 e,=e;=1 的 两 个 任务 。 假 设 每 个 任务 执行 的 截止 期 就 是 周期 的 结束 。 
(a) 请 为 任务 集 给 出 RM 调度 并 给 出 处 理 器 利用 率 。 该 利用 率 与 式 ( 12.2 ) 所 得 的 利用 率 边界 (Liu 
and Layland, 1973 ) 相 比 如 何 ? 
(b) 请 证 明 ，e 或 e 的 任何 增加 都 会 使 得 RM 不 可 调度 。 如 果 保 持 ej=e:=1 以 及 p;=3 为 常量 ， 是 否 
可 能 将 p, 减 小 至 2 以 下 且 仍 然 存在 可 行 的 调度 方案 ”可 减 小 多 少 ? 如 果 保 持 ei=e=1l 以 及 p=2 
为 常量 ， 是 否 可 能 将 p, 减 小 至 3 以 下 并 仍然 存在 可 行 的 调度 方案 ?可 减 小 多 少 ? 
(e) 将 任务 2 的 执行 时 间 增 加 至 e=1.5， 请 给 出 一 个 EDF 调度 。 该 调度 是 可 行 的 吗 ? 处 理 器 利用 率 
是 多 少 ? 
本 题 由 Hokeun Kim 设计 ， 也 比较 了 RM 和 EDF 调度 。 考 虑 两 个 在 单 处 理 器 上 周期 执行 的 任务 ， 
任务 1 的 周期 m=4 且 任务 2 的 周期 P=10。 假 设 任务 1 的 执行 时 间 为 e=1， 任 务 2 的 执行 时 间 为 
e2= 一 7。 
(a) 请 画 出 单调 速率 调度 过 程 ( 20 个 时 间 单 元 ，4 和 10 的 最 小 公 倍 数 ) 。 该 调度 是 可 行 的 吗 ? 
(b) 假设 任务 1 和 2 竞争 一 个 互 斥 锁 ， 且 每 次 执行 在 开始 时 获取 锁 并 在 结束 时 释放 锁 。 同 时 假设 获 


N 


U 


> 


a 


a 


T. 
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取 或 释放 一 个 锁 并 不 占用 时 间 ， 且 使 用 了 优先 级 继承 协议 。 该 单调 速率 调度 是 否 可 行 ? 

(c) 仍然 假设 任务 1 和 2 像 (b) 中 一 样 在 竞争 一 个 互 斥 锁 。 假 设 任务 2 在 运行 一 个 任意 时 间 算 法 
(anytime algorithm )， 该 类 算法 可 以 提前 终止 并 仍然 获得 有 用 的 结果 。 例 如 ， 其 可 以 是 一 个 图 像 
处 理 算法 ， 当 提早 终止 时 将 得 到 较 低 质量 的 图 像 。 请 给 出 任务 2 执行 时 间 e, 的 最 大 值 ， 以 使 得 
单调 速率 调度 是 可 行 的 。 假 设 执行 时 间 总 为 正 值 ， 减 少 任务 2 的 执行 时 间 并 以 此 构造 所 生成 的 
调度 ， 以 及 画 出 20 个 时 间 单 元 的 调度 过 程 。 

(d) 对 于 本 题 的 原 问题 ， 即 ei=1 且 e=7， 且 没有 互 斥 锁 ， 请 画 出 20 个 时 间 单 元 的 EDF 调度 过 程 。 
为 了 解决 具有 相同 截止 期 的 多 个 任务 执行 之 间 的 冲突 ， 假 设 任务 1 的 执行 较 任务 2 的 执行 具有 
更 高 的 优先 级 。 那 么 ， 该 调度 是 可 行 的 吗 ? 

(e) 现在 考虑 增加 第 三 个 任务 ， 即 任务 3， 其 周期 和 执行 时 间 分 别 为 p;=5 和 es=2。 另 外 ， 假设 le) 
中 我 们 可 以 调整 任务 2 的 执行 时 间 。 
假设 执行 时 间 总 是 正 值 。 为 了 打破 具有 相同 截止 期 的 多 个 任务 执行 之 间 的 僵持 情形 ， 假 设 如 果 
i 三 j, 任务 i 的 优先 级 高 于 任务 j 的 优先 级 。 请 找 出 任务 2 执行 时 间 e, 的 最 大 值 ， 以 使 得 EDF 
调度 是 可 行 的 ， 并 请 画 出 20 个 时 间 单 元 的 调度 过 程 。 

本 问题 基于 Burns 和 Baruah ( 2008 ) 给 出 的 例子 来 比较 静态 优先 级 与 动态 优先 级 调度 。 有 两 个 周期 

性 任务 ， 任 务 的 周期 为 p,=2, 任务 的 周期 为 p,=3。 假 设 执行 时 间 分 别 为 e=1 和 e=1.5， 且 任 

F 的 执行 i 的 释放 时 间 由 下 式 给 出 ， 其 中 二 1, 2, …。 

0 
假设 任务 的 执行 i 的 截止 期 由 下 式 给 出 : 
d= 
HME, BIES e 的 释放 时 间 和 截止 期 分 别 由 以 下 两 式 计算 。 
r,,=3 (i-1) 
n= 3 

(a) 请 给 出 一 个 可 行 的 静态 优先 级 调度 。 

(b) 请 证 明 任务 mn 所 有 执行 的 释放 时 间 如 果 被 减少 0.5， 就 不 存在 可 行 的 静态 优先 级 调度 。 

(c) 将 任务 的 释放 时 间 减 少 为 下 式 所 示 ， 请 给 出 一 个 可 行 的 动态 优先 级 调度 。 


Pia= 2 QI) 

.本 问题 研究 调度 异常 。 考 虑 八 个 任务 构成 的 任务 优先 序 图 ，。 。-3 CD rr 
如 图 12-16 所 示 。 在 图 中 ，e 表示 任务 i 的 执行 时 间 。 假 设 7 
如 果 i 过 j， 则 任务 i 的 优先 级 高 于 任务 j 的 优先 级 ， 不 存在 6=2 =i 
任务 抢先 。 这些 任务 必须 依照 所 有 的 优先 序 约束 以 及 优先 级 。”。_ , (GT fiend 
进行 调度 。 假 设 所 有 任务 在 ! = 0 时 刻 到 来 。 
(a) 在 两 个 处 理 器 上 调度 这 些 任 务 ， 请 画 出 这 些 任务 的 调度 GD ee=5 

过 程 并 给 出 总 完成 时 间 。 [ya 
(b) 现 考 虑 在 三 个 处 理 器 上 调度 这 些 任务 。 请 画 出 这 些 任务 

的 调度 过 程 并 给 出 总 完成 时 间 。 该 总 完成 时 间 大 于 还 是 图 12-16 习题 6 的 优先 序 图 


小 于 (a) 中 的 总 完成 时 间 ? 

(c) 考虑 让 每 个 任务 的 执行 时 间 减 少 1 个 时 间 单 元 ， 并 在 两 个 处 理 器 上 调度 这 些 任务 。 请 画 出 这 些 
任务 的 调度 过 程 并 给 出 总 完成 时 间 。 该 总 完成 时 间 大 于 还 是 小 于 (a) 中 的 总 完成 时 间 ? 

本 问题 研究 实时 调度 与 互 斥 之 间 的 交互 ， 由 Kevin Weekly 设计 。 

首先 给 出 如 下 一 段 代码 。 


1 pthread_mutex_t X; // 资源 X: 无 线 通信 
2 pthread_mutex_t Y; // 资源 Y: LCD & 
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pthread_mutex_t 2; // 资源 z: 外 部 存储 器 (低速 ) 
void ISR_A() { // 安全 传感器 中 断 服 务 例 程 


3 
4 

5 

6 pthread_mutex_lock (&Y) ; 

7 pthread_mutex_lock (&X) ; 

8 display_alert(); // 使 用 REY 

9 send_radio_alert(); // 使 用 资源 X 
10 pthread_mutex_unlock (&X) ; 

i pthread_mutex_unlock (&Y) ; 

2 } 


14 void taskB() { // 状态 记录 任务 
15 while (1) { 


16 static time_t starttime = time(); 

17 pthread_mutex_lock (&X) ; 

18 pthread_mutex_lock (&Z); 

19 stats_t stat = get_stats(); 

20 radio_report( stat ); // 使 用 资源 X 

21 record_report( stat ); // 使 用 资源 2 
22 pthread_mutex_unlock (&Z) ; 

23 pthread_mutex_unlock (&X) ; 

24 sleep (100-(time()-starttime)); // 调度 下 一 次 执行 
25 } 

26 } 


28 void taskC() { // UI 更 新 任务 
29 while(l) { 


30 pthread_mutex_lock (&Z) ; 

31 pthread_mutex_lock (&Y) ; 

32 read_log_and_display(); // 使 用 资源 Y 和 Zz 
33 pthread_mutex_unlock (&Y); 

34 pthread_mutex_unlock (&Z); 

35 } 

36 } 


可 以 假设 这 些 注释 已 经 完全 给 出 了 函数 的 资源 使 用 情况 。 也 就 是 说 ， TRE RE 
“uses resource X”, 那么 相关 函数 就 只 使 用 资源 X。 系 统 上 运行 的 调度 器 是 基于 优先 级 的 抢先 式 
调度 器 ，taskB 的 优先 级 高 于 taskC 的 优先 级 。 在 本 问题 中 ，ISR_A 可 以 被 当 作 具有 最 高 优先 级 
的 异步 任务 。 

系统 的 预期 行为 是 每 100ms 发 送 一 个 无 线 电 数据 报 文 , UI 的 预期 行为 是 持续 地 刷新 。 男 外 ， 
如 果 有 一 个 安全 中 断 ， 无 线 电报 告 会 被 立即 发 出 ， 且 由 UI 来 通知 用 户 。 

(a) 通常 ， 当 有 一 个 安全 中 断 时 ， 系 统 将 完全 停止 工作 。 在 一 个 调度 图 中 (类似 于 本 书 中 的 图 12- 
11 )， 使 用 任务 {A, B, C} 以 及 资源 {X, Y, Z} 来 解释 该 行为 的 原因 。 在 图 中 ， 执 行 时 间 不 一 定 要 
按 比例 画 出 ， 但 请 清晰 地 标注 该 图 。 评 分 将 不 仅 考虑 正确 性 ， 还 部 分 取决 于 答案 的 清晰 度 。 

(b) 基于 优先 级 天 花 板 协议 ， 请 为 Ca) 中 给 出 的 相同 事件 序列 画 出 调度 图 。 请 标 出 直到 所 有 任务 
完成 ， 或 者 到 一 次 重复 执行 的 结束 这 一 过 程 中 所 有 的 加 锁 和 解锁 事件 。 其 是 否 会 像 之 前 那样 
终止 ? 

(c) 不 改变 该 调度 器 ， 如 何 重新 排序 taskB 中 的 代码 才能 解决 这 个 问题 ?使 用 所 有 任务 /资源 锁定 方 
案 的 穷 举 搜索 ,证 明 该 系统 不 会 遇 到 死 锁 。( 提 示 : 由 于 有 3 个 任务 且 每 个 任务 有 两 个 可 能 要 加 
锁 的 资源 ， 因 此 证 明 该 过 程 应 列举 6 种 情况 。) 
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分 析 与 验证 


本 部 分 学 习 嵌 入 式 系统 的 分 析 方 法 ， 重 点 是 刻画 期 望 和 非 期 望 行为 的 方法 ， 
以 及 检验 一 个 实现 是 否 符 合 其 规格 要 求 。 第 13 章 包 括 了 时 态 逻 辑 ， 这 是 能 够 表 
达 多 种 输入 /输出 行为 以 及 系统 状态 随时 间 演 化 的 形式 化 标记 方法 ， 该 方法 可 被 
用 于 明确 地 指定 期 望 的 和 非 期 望 的 行为 。 第 14 章 解释 了 一 个 规格 与 另 一 个 规格 
等 价 的 含义 ， 以 及 实现 规格 的 设计 意味 着 什么 。 第 15 章 阐述 了 如 何在 算法 上 检 
查 一 个 设计 是 否 正 确 地 实现 了 规格 。 第 16 章 说 明 如 何 分 析 设 计 的 定量 属性 ， 重 
点 强调 软件 的 执行 时 间 分 析 。 该 类 分 析 对 于 实现 软件 的 实时 行为 是 非常 必要 的 。 
第 17 章 围 绕 与 谱 入 式 、 信 息 物 理 融 合 系统 相关 的 概念 ， 介 绍 了 安全 性 与 隐私 性 
的 基础 知识 。 
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不 变量 与 时 态 罗 和 辑 





每 个 嵌入 式 系 统 的 设计 都 必须 满足 特定 需求 ， 这 样 的 系统 需求 也 被 称 为 属性 或 者 规格 。 
对 规格 的 需要 可 由 如 下 引 语 恰当 地 表述 (Young et al., 1985 ): 

“一 个 没有 规格 的 设计 无 法 判断 对 或 错 ， 只 可 能 是 不 可 思议 的 1” 

在 当前 的 工程 实践 中 ,通常 是 使 用 自然 语言 (如 英语 ) 来 描述 系统 需求 。 例 如 , 已 
被 多 个 国家 空间 机 构 所 采用 的 SpaceWire 总 线 通 信 协 议 (European Cooperation for Space 
Standardization ，2002 )。 以 下 给 出 引 自 该 协议 规格 文档 8.5.2.2 节 中 的 两 个 属性 ， 描 述 复位 
时 系统 行为 的 条 件 。 

1 ) “在 系统 复位 之 后 、 链 路 操作 因 某 种 原因 终止 之 后 或 者 在 线路 初始 化 期 间 出 现 错误 时 ， 
状态 机 应 该 进入 ErrorReset 状态 。” 

2 )“ 无 论 何 时 ， 一 旦 复位 信号 有 效 ， 状 态 机 应 该 立即 转换 到 ErrorReset 状态 ， 且 保持 在 
该 状态 直到 复位 信号 变 为 无 效 。 

精确 地 描述 需求 以 避免 自然 语言 中 固有 的 此 义 是 非常 重要 的 。 例 如 上 述 SpaceWire 协议 
的 第 一 条 属性 ， 可 以 看 到 ， 这 一 条 属性 并 没有 描述 什么 时 候 将 会 进入 ErrorReset 状态 。 实 现 
SpaceWire 协议 的 系统 是 同步 的 ， 意 味 着 状态 机 的 迁移 会 出 现在 系统 时 钟 的 节拍 上 上。 那么， 
必须 在 三 个 条 件 之 一 变 为 true 之 后 紧 接 的 那个 节拍 时 刻 进入 ErrorReset 状态 ， 还 是 在 之 后 
的 某 个 节拍 时 刻 ? 事实 证 明 ， 文 档 中 的 本 意 是 让 系统 在 紧 接 的 那个 节拍 迁移 到 ErrorReset AR 
态 ， 但 上 述 自然 语言 描述 并 不 精确 。 

本 节 将 介绍 以 数学 方式 精确 表述 系统 属性 的 相关 技术 。 系 统 属性 的 数学 规格 也 被 称 为 
式 化 规格 ( formal specification)。 我 们 将 要 使 用 的 特定 形式 化 机 制 是 时 态 逻 辑 ( temporal 
logic)。 顾 名 思 义 ， 时 态 逻 辑 是 一 个 精确 的 数学 符号 表示 方法 ， 其 具有 对 时 间 相 关系 统 属性 
进行 表示 和 推理 的 一 组 规则 。 虽 然 自 从 亚 里 士 多 德 时 期 时 态 逻 辑 已 被 哲学 家 和 逮 辑 学 家 所 使 
用 ， 但 也 只 有 在 近 三 十 年 才 发 现 其 是 可 用 作 描 述 系统 需求 的 数学 符号 表示 方法 。 

最 常见 系统 属性 中 的 一 种 就 是 不 变量 (invariant)， 其 也 是 时 态 逻 辑 属 性 的 最 简单 形式 之 
一 。 我 们 将 首先 介绍 不 变量 的 概念 ， 进 而 将 其 推广 到 表达 性 更 好 的 时 态 逻 辑 规格 中 。 


13.1 不 变量 


AES (invariant) 是 在 整个 系统 运行 期 间 一 直 保持 为 true 的 系统 属性 。 换 句 话 说， 所 
谓 的 不 变量 ， 就 是 在 系统 初始 状态 为 tue， 且 在 系统 演化 过 程 中 的 每 个 状态 及 每 个 响应 之 后 
都 保持 为 true 的 系统 属性 。 

实际 中 ， 很 多 属性 都 是 不 变量 。SpaceWire 协议 的 上 述 两 个 属性 都 是 不 变量 ， 虽 然 这 也 
许 并 非 显而易见 的 。SpaceWire 的 这 两 个 属性 指明 了 必须 一 直 为 真 的 条 件 。 如 下 是 我 们 在 第 
3 章 已 经 讨论 过 的 模型 的 不 变量 属性 示例 。 
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GRRE 加 质 图 3-10 中 的 交通 灯 控 制 器 及 其 在 图 3-11 中 所 建 的 环境 模型 ， 再 考虑 这 
decile pany hoagie 个 显而易见 的 属性 是 : 当 交 通 
灯 为 绿灯 时 不 会 有 行人 通过 ( 即 允许 车 辆 通行 时 )。 该 属性 在 系统 中 必须 一 直 为 true， 从 而 
也 就 是 一 个 系统 不 变量 。 


指定 租 入 式 系统 软 硬 件 实现 的 不 变 属 性 是 可 取 的 。 这 些 属性 中 的 一 部 分 指定 了 语言 结构 
上 的 正确 编程 实践 方法 。 例 如 ，C 语言 的 属性 “程序 从 不 间接 引用 一 个 空 指针 ”9 就 是 指明 
好 的 编程 实践 方法 的 一 个 不 变量 。 通 常 ，C 程序 中 间接 引用 一 个 空 指针 会 导致 段 错误 ， 从 而 
可 能 导致 系统 崩溃 。 

类 似 地 ,并 发 程序 的 一 些 期 望 属性 也 是 不 变量 ， 如 下 例 所 述 


AED 看 看 如 下 关于 没有 死 锁 的 属性 。 

如 果 线 程 4 在 尝试 获取 一 个 互 斥 锁 时 被 阻塞 ， 那 么 持 有 该 锁 的 线程 在 尝试 获取 由 4 
所 持 有 的 锁 时 就 必须 不 被 阻塞 。 

该 属性 被 要 求 是 任何 基于 线程 4 和 B 所 构建 多 线程 程序 的 一 个 不 变量 。 当 然 ， 一 个 特 
定 程序 也 可 能 不 会 保持 该 属性 ， 而 它 将 面临 死 锁 的 风险 。 


很 多 系统 不 变量 还 会 对 程序 数据 施加 要 求 ， 如 下 例 所 示 。 


AREE 以 下 是 未 自 Paparazzi 无 人 机 (Unmanned Aerial Vehicle, UAV) 项 目的 一 个 
软件 任务 (Nemer et.al., 2006 ) 。 


1 void altitude_control_task(void) { 

2 if (pprz_mode == PPRZ_MODE_AUTO2 

3 || pprz_mode == PPRZ_MODE_HOME) { 

4 if (vertical_mode == VERTICAL_MODE_AUTO_ALT) { 
5 float err = estimator_z - desired_altitude; 
6 desired_climb 

7 = pre_climb + altitude_pgain * err; 

8 if (desired_climb < -CLIMB_MAX) { 

9 desired_climb = -CLIMB_MAX; 

10 } 

11 if (desired_climb > CLIMB MAX) { 

12 desired_climb = CLIMB_MAX; 

13 } 

14 } 

15 } 

16 } 


对 于 本 例 而 言 ， 要 求 变量 desired_climb 的 值 在 altitude_control task 函数 的 末尾 保持 在 
[-CLIMB MAX, CLIMB MAX] 范围 以 内 。 这 是 关于 后 置 条 件 (postcondition) 这 一 ed 
变量 类 型 的 例子 ,每 次 altitude_control tak 函数 返回 时 都 必须 保持 该 后 置 条 件 ， 要 确定 
否 符合 这 一 情形 就 得 分 析 程 序 的 控制 流 。 


13.2 ”线性 时 态 逻 辑 
ME, 我们 给 出 时 态 逻 辑 (temporal logic) 的 形式 化 描述 并 用 示例 说 明 如 何 用 时 态 逻 


© dereference, 间接 引用 ,表示 取 指 针 指 向 的 值 ， 即 C 语言 中 的 * 操作 。 一 一 译 者 注 
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辑 来 刻画 系统 行为 。 尤 其 是 我 们 研究 一 类 特定 类 型 的 时 态 逻 辑 ， 即 线性 时 态 逻 辑 (Linear 
Temporal Logic, LTL) 时 。 除 此 之 外 还 有 一 些 其 他 形式 的 时 态 逻 辑 ， 本 书 将 在 注解 栏 中 对 
其 中 一 部 分 进行 简要 说 明 。 
使 用 线性 时 态 逻 辑 ， 就 可 以 在 系统 的 任意 单个 执行 中 表达 一 个 属性 。 例 如 ， 可 以 在 线性 
时 态 逻 辑 中 表示 如 下 类 型 的 属性 。 
o 事件 的 发 生 及 其 属性 。 例 如 ， 事件 4 必须 在 系统 的 每 个 轨迹 中 至 少 出 现 一 次 ， 或 者 
其 必须 无 限 次 地 发 生 。 
e 事件 之 间 的 因果 依赖 。 例 如 ， 如 果 事 件 4 在 一 个 轨迹 中 出 现 ,那么 事件 下 也 必定 
出 现 。 
e 事件 排序 。 例 如 ， 指 定 事件 4 的 每 次 出 现 之 前 都 有 一 个 相应 的 事件 B 出 现 。 
现在 ,我 们 将 对 上 述 关于 线性 时 态 逻 辑 可 表达 属性 的 直观 认识 进行 形式 化 。 选 定 一 个 具 
体 的 形式 化 计算 模型 对 形式 化 表示 来 说 是 很 有 帮助 的 。 这 里 ， 我 们 将 会 使 用 第 3 章 讨论 的 有 
限 状态 机 理论 。 
回顾 3.6 节 中 一 个 有 限 状 态 机 的 执行 轨迹 是 如 下 形式 的 序列 。 其 中 ，g={x, sy}. 5) 是 
状态 ,x 是 输入 估 值 ，y 是 响应 j 的 输出 估 值 。 
o> Jis 1z F3 °° 


13.2.1 命题 逻辑 公式 


首先 ， 我们 需要 能 够 讨论 每 个 响应 的 条 件 ， 如 一 个 输入 或 输出 是 否 存 在 、 一 个 输入 或 输 
出 的 值 是 多 少 ,或 者 状态 又 是 什么 等 。 令 原子 命题 ( atomic proposition) 是 关于 输入 、 输 出 
或 状态 的 这 样 一 个 描述 ， 其 是 一 个 谓词 ( 估 值 为 真 或 假 的 表达 式 )。 与 图 13-1 中 状态 机 相关 
的 原子 命题 示例 如 下 . 


输入 : x: pure 
true 为 真 输出 : y: pure 
false 为 假 true / xly 
x 输入 x 为 present 时 为 真 =o so 
x=present fai A. x X present 时 为 真 
y=absent y Wy absent 时 为 真 x/y tme/y 
b 有 限 状态 机 为 b 状态 时 为 丰 on ý 
在 每 种 情况 下 ， 响 应 q, 的 表达 式 要 么 为 真 要 么 为 图 13-1 用 于 说 明 线性 时 态 逻 辑 的 
假 。 如 果 对 于 任何 估 值 x 和 ?都 有 4F (x, b, y), WIKE q; lei 


的 命题 b 为 真 ， 这 意味 着 在 该 响应 开始 时 状态 机 为 b 状态 。 也 就 是 说 ， 它 是 指 当前 状态 ， 而 
不 是 下 一 个 状态 。 

命题 逻辑 公式 (propositional logic formula) 或 者 (更 简单 地 ) 命题 (proposition) 是 采 
用 逻辑 连接 符 (logical connective) 组 合 起 来 的 原子 命题 ， 这 些 连接 符 包 括 合 取 GES, ic 
AN), Brak GER, WAV) Ame (逻辑 非 ， 记 为 一 )， 以 及 蕴涵 GHAR, id=). 
图 13-1 中 状态 机 的 命题 包括 了 上 述 所 有 原子 命题 以 及 使 用 逻辑 连接 符 和 原子 命题 组 成 的 表 
达 式 。 如 下 给 出 一 些 示 例 。 

xAy x Fil y ABA present 时 为 真 

xVy x EX y X present 时 为 真 

x=present /\ y=absent x Ky present HAll y 4 absent th} AA 


=y y H absent 时 为 真 
a> y 有 限 状 态 机 在 a 状态 时 为 真 ， 响 应 将 把 输出 y 置 为 存在 


注意 ， 对 于 命题 p, Ap, MHK- p >p Ht, MAp > p, 为 真 。 换 句 话 说 ， 如 
果 我 们 希望 使 得 p, >p 为 真 ， 实 际 上 就 等 价 于 使 得 一 p, >p 为 真 。 逻 辑 上 ， 后 一 个 表达 
式 被 称 为 前 一 表达 式 的 道 否 命题 (contrapositive). 
进而 注意 ， 如 果 p AK, 命题 p, > p, 就 会 为 真 ， 这 通过 道 否 命题 是 很 容易 理解 的 。 如 
Rp XE, M-p 寺 一 pi 就 为 真 ， 而 不 用 考虑 p,。 因 此 , pi > p 的 另 一 个 等 价 命题 
nit. © 
“pi V Pr 
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与 上 述 命题 不 同 ， 线 性 时 态 逻 辑 公 式 应 用 于 如 下 整个 轨迹 而 不 仅仅 是 一 个 响应 g;。 最 简 
单 的 线性 时 态 逻 辑 公式 看 起 来 与 上 述 命题 很 相似 ， 但 是 它们 应 用 于 整个 轨迹 而 不 仅仅 是 轨迹 
中 的 单个 元 素 。 
o> 4i; a 

如 果 p 是 一 个 命题 ， 那 么 通过 定义 就 可 以 说 当 且 仅 当 p 对 于 q 为 真 时 ， 线 性 时 态 逻 辑 
公式 $=p 对 于 do Gis doo … 也 成 立 。 虽然“ 即使 该 命题 仅 对 轨迹 中 的 第 一 个 元 素 成 立 ， 该 公 
式 对 整个 轨迹 都 成 立 ” 看 起 来 有 些 奇怪 ， 但 是 我 们 将 看 到 线性 时 态 逻辑 提供 了 推理 整个 轨迹 
的 方法 。 

KRI, RIIA. p p 等 来 表示 线性 时 态 逻 辑 公式 ， 用 p、p,、p, 等 来 表示 命题 。 

给 定 一 个 状态 机 M 和 一 个 线性 时 态 逻 辑 公式 pp， 如 果 y 对 状态 机 M 所 有 可 能 的 轨迹 都 
是 成 立 的， 我 们 就 说 对 状态 机 M 是 成 立 的 。 这 通常 需要 考虑 到 所 有 可 能 的 输入 。 


ED 因为 所 有 轨迹 都 从 状态 a 开始 ， 线 性 时 态 逻 辑 公式 a 对 图 13-1b 成立。 但 
这 在 图 13-1a 中 并 不 成 立 。 

线性 时 态 逻 辑 公式 x 之 了 对 两 个 状态 机 都 成 立 。 对 于 这 两 种 情况 ， 在 第 一 个 响应 中 ， 如 
Z x X present, 1| y %H present. 


为 了 证 明 一 个 线性 时 态 逻 辑 公式 对 于 一 个 有 限 状 态 机 为 假 ， 只 需要 给 出 一 个 使 该 公式 为 
假 的 轨迹 就 足够 了 。 这 样 的 一 个 轨迹 被 称 为 反例 ( counterexample)。 为 了 证 明 一 个 线性 时 态 
逻辑 公式 对 一 个 有 限 状 态 机 为 真 ， 就 必须 证 明 其 对 所 有 的 轨迹 都 为 真 ， 这 通常 非常 困难 US 
管 当 线性 时 态 多 辑 公式 是 一 个 简单 的 命题 逻辑 公式 时 〈 其 仅 须 考 虑 轨迹 的 第 一 个 元 素 ) 并 不 
是 那么 困难 )。 


GED 线性 时 态 混 辑 公式 ) 对 于 图 13-1 中 的 两 个 有 限 状态 机 都 为 假 。 在 这 两 种 情 
形 下 ,第 一 个 响应 中 x 为 absent 的 轨迹 就 是 一 个 反例 。 


除了 命题 之 外 ， 线 性 时 态 逻 辑 公式 也 可 以 具有 一 个 或 多 个 特定 的 时 态 算 子 (temporal 
operator)。 这 些 算 子 使 得 线性 时 态 逻 辑 变 得 更 加 有 趣 ， 因 为 它们 使 得 我 们 可 以 对 整个 轨迹 进 
行 推理 ， 而 不 仅 是 对 轨迹 的 第 一 个 元 素 进行 推断 。 以 下 我 们 将 讨论 四 个 主要 的 时 态 算 子 。 


”可 以 采用 定义 证 明 法 或 真 值 表 证 明 法 、 具 体 请 参考 逻辑 学 、 离 散 数学 内 容 。 一 一 译 者 注 


G 算 子 

如 果 乡 对 一 个 轨迹 的 每 一 个 后 缀 (suffix) 都 成 立 (后 缀 是 从 某 个 响应 开始 并 包括 后 续 所 
有 响应 的 一 个 轨迹 的 尾部 )， 属性 Gp GEE E p”) 对 该 轨迹 成 立 。 

数学 符号 表示 中 ， 当 上 且 仅 当 对 于 所 有 的 j 三 0， 都 有 公式 Y 在 轨迹 的 后 级 gj, qi, dpo i 
中 成 立 ， 则 Go 对 于 该 轨迹 成 立 。 


GEER 在 图 13-lb F, Gasy) 对 于 状态 机 的 所 有 轨迹 都 为 真 ， 因 此 对 于 状态 机 
成 立 。G(x Ay) 对 状态 机 不 成 立 ， 因 为 其 对 于 出 现 了 x 为 absent 的 响应 的 任何 轨迹 都 为 假 。 
这 样 的 轨迹 提供 了 一 个 反例 。 


如 果 g 是 一 个 命题 逻辑 公式 ， 那么 Gy 只 是 意味 着 $ 在 每 个 响应 中 都 成 立 。 然 而 ,我们 
将 看 到 当 把 G 算 子 和 其 他 时 态 逻 辑 算 子 进行 组 合 时 ， 就 可 以 对 这 些 轨迹 和 状态 机 做 出 更 有 
意思 的 描述 。 

F 算 子 

E p 对 轨迹 的 茶 个 后 级 成 立时 ,属性 Fe ( 读 作 “最 终 o”) 对 该 轨迹 成 立 。 

形式 化 地 ， 当 且 仅 当 对 于 菜 个 j 宇 0, p 在 轨迹 的 后 缀 qj, dpo Guo PMOL, Fo 对 于 该 
轨迹 成 立 。 


GRRE 在 图 13-1a 中 ，Fb 保持 为 真 ， 因 为 状态 机 从 状态 机 b 开始 ， 因 此 ， 对 于 所 
有 轨迹 ， 命 题 b 对 于 轨迹 本 身 《 恰 好 是 第 一 个 后 组 ) 成 立 。 

更 为 有 意思 的 是 ，G (x> Fb) 对 于 图 13-1a 成 立 。 这 是 因为 如 果 在 任何 响应 中 x 都 是 
Present， 那 么 该 状态 机 将 最 终 进入 状态 b。 即 使 是 在 从 状态 a 开始 的 后 级 中 ， 其 也 为 真 。 

请 注意 ， 在 解释 线性 时 态 座 辑 公式 时 括号 可 能 非常 重要 。 例 如 ，( Gx) 一 (Fb) 会 保持 为 
真 ， 因 为 Fb 对 于 所 有 轨迹 都 为 真 ( 因 为 初始 状态 为 b)。 


请 注意 ， 当 且 仅 当 一 Gy Ht Fog WR B, g RAIES o 并 不 总 为 真 的 说 法 是 一 样 的 。 

X 算 子 

属性 Xo ( 读 作 “下 一 个 状态 6”) 对 于 一 个 轨迹 do do qa … 成 立 ， 当 且 仅 当 少 对 于 轨迹 
qis 92 3» “成 立 。 


CE 在 图 13-1a t, x> Xa 对 于 状态 机 成 立 ， 这 是 因为 如 果 在 第 一 个 响应 中 x 
为 present， 那 么 接 下 来 的 状态 就 将 是 a。G (x => Xa) 对 该 状态 机 不 成 立 ， 因 为 其 对 从 状态 
a 开始 的 任何 后 级 都 不 成 立 。 在 图 13-lb 中 ，G (b> Xa) 对 于 状态 机 成 立 。 


U 算 子 

WMR p 对 一 个 轨迹 的 某 个 后 级 成 立 且 直到 9, 为 true HT o, WRZ, JRE gp Ug, OZE “g 
直到 yp,”) 对 于 这 个 轨迹 成 立 。 

形式 化 地 ， 人 内 Ud. 对 于 该 轨迹 成 立 ， 当 且 仅 当 存 在 j 大 0， 对 于 所 有 的 i 且 0 三 i<j 有 
bo 在 后 级 dp urs Irs … 中 成 立 ， 且 办 EER qo dint, don … 中 成 立 。 册 对 于 gj, qj, Yas … 可 
能 成 立 也 可 能 不 成 立 。 


GRIER 在 图 13-1b 中 ，aUx 对 于 任何 Fx 成立 的 轨迹 都 为 真 。 但 因为 其 并 不 包括 所 
有 和 轨迹， 所 以 aUx 对 该 状态 机 不 成 立 。 
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一 些 作 者 定义 了 U 算 子 的 弱化 形式 ， 其 并 不 要 求 $, 成立。 基于 我 们 的 定义 ， 其 可 被 写 
为 如 下 形式 : 
(Gi) V (piU9,) 
如 果 p ER (AFER), ARRA, 或 者 如 果 ,对 于 某 个 后 缀 成 立 ， 那 么 ， 
pi 对 于 之 前 的 后 缀 都 成 立 。 这 可 被 等 价 地 写 为 如 下 形式 : 
(F>¢, )=>(¢, Ud; ) 


ARE» 在 图 13-lb +, (Gox) V aUx 对 于 该 状态 机 成 立 。 


延伸 探讨 : 可 选 的 时 态 逻 辑 

以 色 列 计算 机 科学 家 Amir Pnueli (1977) 率先 将 时 态 逻 辑 作为 形式 化 描述 程序 属性 
的 方法 。 为 此 ， 他 于 1996 年 获得 了 计算 机 科学 的 最 高 荣誉 一 一 ACM 图 灵 奖 。 从 他 那 篇 
开创 性 的 文章 开始 ， 时 态 逻 辑 已 经 广泛 作为 描述 一 系列 系统 的 方法 ， 和 包括 硬件 、 软 件 和 
言 息 物理 融合 系统 等 

在 本 章 ， 我 们 聚焦 于 线性 时 态 远 辑 ， 当 然 还 有 很 多 其 他 类 型 的 时 态 罗 辑 。 线 性 时 态 
逻辑 公式 应 用 于 有 限 状 态 机 中 的 单个 轨迹 ， 且 在 本 章 中 ， 依 据 惯例 ， 我 们 断定 如 果 一 个 
线性 时 态 逻 辑 公 式 对 于 有 限 状 态 机 的 所 有 可 能 轨迹 都 成 立 ， 那 么 该 公式 对 这 个 有 限 状态 
机 成 立 。 计 算 树 逻 辑 (Computation Tree Logic，CTL*) 是 一 个 更 为 通用 的 逻辑 ， 其 显 式 
地 在 有 限 状 态 机 可 能 的 轨迹 上 提供 了 一 组 量词 (Emerson and Clarke，1980 ) ; Ben-Ari et 
al. ( 1981 ) )。 例 如 ， 如 果 存 在 任意 满足 某 个 属性 的 轨迹 ， 而 不 是 要 求 该 属性 必须 对 所 有 
轨迹 都 成 立 ， 我 们 就 可 以 写 出 对 一 个 有 限 状态 机 成 立 的 计算 树 逻 辑 表达 式 。 计 算 树 逻辑 
也 被 称 为 分 义 时 间 逻 辑 ( branching-time logic)， 因 为 无 论 何 时 只 要 有 限 状态 机 的 响应 具 
有 一 个 非 确定 性 选择 ， 它 都 将 同时 考虑 这 些 选项 。 与 之 不 同 的 是 ， 线 性 时 态 逻 辑 每 次 仅 
考虑 一 个 轨迹 ， 因 此 它 被 称 为 是 一 个 线性 时 间 逻 辑 (linear-time logic), 习惯 地 认为 ,，“ 如 
果 线 性 时 态 远 辑 公 式 对 于 所 有 轨迹 都 成 立 ， 则 它 对 有 限 状 态 机 成 立 ” 这 一 情况 是 不 能 在 
线性 时 态 远 辑 中 直接 表达 的 ， 因 为 线性 时 态 罗 辑 并 不 包括 类 似 于 “对 于 所 有 轨迹 ”这 样 
的 量词 。 我 们 不 得 不 跳出 该 逻辑 来 使 用 这 一 约定 。 而 采用 CTL* 时 ， 该 约定 可 以 在 逻辑 
中 直接 表示 。 

时 态 逻 辑 的 其 他 变 体 还 包括 了 如 用 于 连续 时 间 实 时 系统 推理 的 实时 时 态 逻 辑 (如 时 
间 计 算 树 逻辑 或 TCTL) (Alur et al.，1991 ; Alur and Henzinger, 1993); 以 及 用 于 推理 
诸如 马尔 可 夫 链 或 马尔 可 去 决策 过 程 等 概率 模型 的 概率 时 态 罗 辑 ( probabilistic temporal 
logic) (Hansson and Jonsson，1994 )。 同 时 ， 已 证 明 信 和 号 时 态 逻 辑 对 于 推理 混合 系统 的 
实时 行为 非常 有 效 (Maler and Nickovic，2004 ) 。 

一 些 用 于 从 轨迹 中 推理 时 态 逻 辑 属性 的 技术 也 被 称 为 规格 挖掘 (specification 
mining)， 被 证 明 对 于 工业 实践 是 有 用 的 (Jin et al.，2015 ) 





13.2.3 ”运用 线性 时 态 逻 辑 公 式 
看 看 如 下 用 自然 语言 描述 的 属性 ， 及 其 相应 的 线性 时 态 逻 辑 形式 化 表示 。 


URED “每 当 机 器 人 遇 到 障碍 物 时 ， 其 最 终 都 会 移动 离开 障碍 物 至 少 5cm。” 


令 忆 表示 机 器 人 遇 到 障碍 物 这 一 条 件 ，9 表示 机 器 人 距离 障碍 物 至 少 5cm 这 一 条 件 。 那 
么 ， 这 一 属性 可 以 被 形式 化 地 表示 为 如 下 线性 时 态 逻 辑 。 
G (p= Fg) 


Pa Bl 13.12) 来 看 SpaceWire 总 线 的 如 下 属性 ; 

“无 论 何 时 ， 一 旦 复位 信号 有 效 ， 状 态 机 应 该 立即 转换 到 ErrorReset 状态 ， 且 保持 在 该 
状态 直到 复位 信号 变 为 无 效 。 

令 p 在 复位 信号 有 效 时 为 true， 且 9g 在 有 限 状 态 机 处 于 ErrorReset 状态 时 为 true， 那 么 
上 述 自 然 语言 表示 的 属性 可 以 基于 线性 时 态 逻 辑 形式 化 地 表示 为 如 下 形式 。 

G (p>X (gU-p) 

在 上 述 形 式 化 中 ,我 们 已 经 解释 了 “立即 ”意味 着 在 紧 接 着 的 下 一 个 时 间 步 时 状态 改 
变 为 BrrorReset。 另 外 ， 上 述 线 性 时 态 次 辑 公式 对 于 任何 复位 信号 有 效 且 永 不 失效 的 执行 不 
再 成 立 。 复 位 信号 最 终 失 效 可 能 是 该 标准 的 初 吏 ,但 自然 语言 描述 并 没有 将 这 个 意思 表述 
清楚 。 


EBD 考虑 图 3-10 中 的 交通 灯 控 制 器 。 该 控制 器 的 一 个 属性 是 输出 会 在 sigG、 
sigY、sigR 中 一 直 循 环 ， 可 以 将 其 表示 为 如 下 线性 时 态 逻 辑 。 
G { (sigG >X ((-sigR A sigG) UsigY)) 
A (sigY >X ((-sigG A ~sigY) UsigR)) 
A (sigR >X ((~sigY A ~sigR) UsigG)) } 


如 下 线性 时 态 逻 辑 公式 通常 表示 一 些 有 用 的 属性 。 

(a) 无 数 次 发 生 : 该 属性 的 形式 为 G Fp, HRE p RAH true 的 情况 总 是 出 现 。 换 名 
Wiw, KERA p ARAY (infinitely often) 为 trues 

(b) 稳 态 属性 : 该 属性 的 形式 为 F Gp， 读 作 “ 从 将 来 的 某 个 点 , p 一 直 成 立 ”。 这 表示 
了 一 个 稳 态 属性 ， 说 明 在 某 个 时 间 点 之 后 ， 系 统 就 处 于 p 一 直 为 true 的 一 个 稳 态 ( steady 
state ) 。 

(c) 请 求 一 响应 属性 : 公式 G (p = Fq) 可 以 被 解释 为 一 个 请 求 p 最 终 将 会 产生 一 个 响 
应 qo 


13.3 小结 
可 靠 性 与 正确 性 是 租 入 式 系 统 设计 中 的 核心 问题 ， 而 形式 化 规格 又 是 达成 这 些 目 标的 核 
心 方式 。 在 本 章 我 们 学 习 了 时 态 逻 辑 ， 这 是 编写 形式 化 规格 的 主要 方法 之 一 。 本 章 提 供 了 精 


确 描述 系统 中 随时 间 一 直 成 立 的 属性 的 相关 技术 ， 特 别 是 聚焦 于 线性 时 态 逻 辑 ， 该 方法 能 够 
表达 系统 的 安全 性 和 活性 属性 。 


安全 性 与 活性 属性 
系统 属性 可 能 是 具有 安全 性 (safety) 或 活性 (liveness) 的 属性 。 通 俗 地 讲 ， 安 全 属 


性 指定 了 在 运行 期 间 “ 不 发 生 坏 的 情况 ”。 类 似 地 ， 活 性 属性 则 指定 了 在 运行 期 间 “ 一 
些 好 的 情况 将 会 发 生 ”。 
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更 为 形式 化 地 ， 如 果 当 上 且 仅 当 存在 一 个 不 能 被 扩展 为 满足 pp 的 无 限 执行 的 、 有 限 长 
度 的 执行 前 组 时 ， 系 统 的 执行 不 满足 p， 该 属性 p 就 是 一 个 安全 性 属性 。 如 果 每 个 有 限 
长 度 的 执行 轨迹 都 能 被 扩展 为 满足 p 的 一 个 无 限 执行 ， 那么 就 说 p 是 一 个 活性 属性 。 关 
于 安全 性 和 活性 的 理论 论述 参见 Lamport (1977 ) 和 Alpern and Schneider ( 1987 ) 。 

13.1 节 中 的 属性 全 都 是 安全 性 属性 的 例子 。 另 一 方面 ， 活 性 属性 指定 了 系统 上 的 性 
能 需求 或 演进 需求 。 对 于 一 个 状态 机 而 言 ，F9 形式 的 属性 是 一 个 活性 属性 。 不 存在 任何 
有 限 执行 能 够 证 明 该 属性 不 被 满足 。 

以 下 给 出 一 个 活性 属性 稍微 详细 一 些 的 例子 : 

“只 要 一 个 中 断 有 效 ， 其 相应 的 中 断 服务 例 程 (ISR) 终 将 被 执行 。 

在 时 态 逻 辑 中 ， 如 果 pl 是 中 断 有 效 的 属性 ，p, 是 中 断 服务 例 程 被 执行 的 属性 ， 那 么 
这 个 属性 就 可 以 被 写 为 如 下 形式 : 

G (p, > Fp, ) 

请 注意 ， 安 全 性 和 活性 属性 两 者 都 能 够 构成 系统 不 变量 。 例如， 上 述 中 断 的 活性 属 
性 是 一 个 不 变量 ,pi > Fo, 在 每 个 状态 中 都 必须 成 立 。 

活性 属性 可 以 是 有 界 的 ， 也 可 以 是 无 界 的 。 一 个 有 界 活性 (bounded liveness) 属性 
对 期 望 发 生 的 事情 指定 一 个 时 间 边 界 (这 使 其 也 是 一 个 安全 属性 )。 在 上 例 中 ， 如 果 ISR 
必须 在 中 断 有 效 后 的 100 个 时 钟 周 期 内 执行 ， 该 属性 就 是 有 界 活性 属性 ; 否则 ， 如 果 在 
ISR 执行 上 没有 这 个 时 间 边 界 ， 其 就 是 一 个 无 界 活性 (unbounded liveness) 属性 。 线 性 
时 态 逻 辑 可 以 使 用 义 算 子 表示 有 限 形 式 的 有 界 活性 属性 ， 但 是 它 并 不 为 量化 时 间 直 接 提 
供 任何 机 制 。 





习题 
1. 就 如 下 每 个 问题 ， 请 简要 地 给 出 答案 并 说 明理 由 。 
(a) 判断 真 假 : 如 果 GFp 对 于 一 个 状态 机 4 成 立 ， 那 么 FGp 也 成 立 。 
(b) 判断 真 假 : HIL Gp 成 立时 ，G(Gp) 对 于 一 个 轨迹 成 立 。 
2. 考虑 以 下 状态 机 : 
(请 回顾 虚线 表示 了 一 个 默认 迁移 。) 对 于 如 下 每 个 线性 时 态 逻 辑 公 。 。 输入 : *: pure 
式 ， 请 确定 其 丰 假 ， 如 果 为 假 ， 请 给 出 一 个 反例 。 Wy 
(a) x => Fb p ta : 
(b) G (x= F (y=1)) © 
(c) (Gx) > F (y=1) 
(d) (Gx) > GF (y=1) si ai 
(e) G ((b A >x)= FGc) 
(£) G ((b A 7x) = Ge) 
(g) (GF>x) => FGc 
. 结合 第 6 章 习 题 6 中 学 习 的 同步 反馈 组 合 ， 请 确定 如 下 描述 的 真 假 。 
每 个 可 能 的 组 合 行为 的 序列 w 可 以 满足 如 下 时 态 逻 辑 公式 ， 不 是 组 合 行为 的 序列 不 能 满足 该 公式 。 
G (w)V(wU(G— w)) 
请 给 出 答案 的 证 明 。 如 果 认 为 该 描述 为 假 ， 请 提供 一 个 时 态 逻 辑 公式 使 其 为 真 。 
4. 本 问题 涉及 指定 机 器 人 执行 的 线性 时 态 逻 辑 任务 。 假 设 机 右 人 必须 访问 7, 1,,…, 4 等 n 个 位 置 。 令 


w 
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Pi 为 原子 公式 ， 当 且 仅 当 机 器 人 访问 位 置 ;时 其 为 true。 

请 给 出 如 下 任务 的 线性 时 态 逻 辑 公式 表示 。 

(a) 机 器 人 最 终 必 须 至 少 访问 n 个 位 置 中 的 一 个 。 

(b) 机 器 人 最 终 必须 (可 以 以 任意 顺序 ) 访问 全 部 n 个 位 置 
(c) 机 器 人 最 终 必 须 以 1, 1,,…, 1, 的 顺序 访问 全 部 个 位 置 。 

5. 考虑 一 个 由 图 13-2 中 分 层 状 态 机 所 建 模 的 系统 M， 其 建 模 了 一 个 中 汤 驱 动 程序 。M 有 两 个 模式 : E 
程序 执行 的 Inactive 模式 和 中 断 服 务 例 程 执行 的 Active 模式 。 主 程序 和 中 断 服务 例 程 读 取 并 更 新 一 
个 公共 变量 timerCount。 请 回答 如 下 问题 。 

(a) 选择 合适 的 原子 命题 ， 在 线性 时 态 逻 辑 中 指定 如 下 属性 g: 
4: 主 程序 最 终 会 到 达 程 序 中 的 位 置 Co 

(b) M 是 否 满足 上 述 线性 时 态 逻 辑 属 性 ? 请 构造 一 个 有 限 状 态 机 来 验证 所 给 出 的 答案 。 如 果 M 不 能 
满足 该 属性 ， 那 么 其 在 何 种 条 件 下 可 以 满足 ? 假设 M 所 处 的 环境 可 能 在 任何 时 间 产 生 中 断 














交易 : timerCount: uint 
输入 : assert: pure, return: pure 
输出 : return: pure 


assert / 









Inactive 


7, return | i 





/ return 
timerCount := timerCount — 1 


timerCount := 2000 


timerCount # 0 / 





timerCount = 0 / 





timerCount = 0 / return 


图 13-2 对 主 程序 及 其 中 断 服务 例 程 建 模 的 分 层 状 态 机 


6. 请 以 线性 时 态 逻 辑 公 式 的 形式 表示 示例 13.3 中 的 后 置 条 件 ， 并 清晰 地 描述 所 给 出 的 假设 。 

7. 考虑 如 图 11-6 所 示 的 程序 片段 ， 其 为 线程 提供 了 函数 以 通过 发 送 消息 的 方式 进行 异步 通信 。 请 回答 
关于 这 段 代 码 的 如 下 问题 。 假 设 这 段 代 码 运行 在 单个 处 理 器 上 【不 是 多 核 处 理 机 )， 且 可 以 假设 仅 依 
靠 给 出 的 这 些 代 码 访问 列 出 的 这 些 静 态 变量 。 

(a) 令 是 断定 send 函数 释放 该 互 斥 锁 ( 即 执行 第 24 行 ) 的 一 个 原子 命题 ， 令 g 是 断定 get PRE 
WOK ALR BL (BUTS 38 行 ) 的 一 个 原子 命题 。 请 写 出 一 个 可 以 断定 程序 执行 中 g& 不 能 早 于 s 
出 现 的 线性 时 态 逻 辑 公式 。 该 公式 对 于 使 用 这 些 因 数 的 任意 程序 的 第 一 次 执行 是 否 成 立 ? 

(b) 假设 图 11-6 中 使 用 send 函数 和 get 函数 的 程序 在 其 执行 的 任意 点 被 中 止 ， 之 后 重新 从 头 执 行 。 
在 这 个 新 的 执行 中 ， 对 get 函数 的 调用 可 能 在 任何 对 send 函数 已 经 进行 的 调用 之 前 返回 。 请 描 
述 这 是 如 何 发 生 的 。get 函数 将 返回 什么 值 ? 

(c) 再 次 假设 如 上 使 用 send 和 get 函数 的 程序 在 其 执行 中 的 任意 点 被 中 止 ， 之 后 重新 从 头 执 行 。 在 
新 的 执行 中 是 否 可 能 出 现 死 锁 ， 使 得 对 get 函数 的 调用 和 对 send 函数 的 调用 都 不 能 返回 ?如 果 
是 ， 请 描述 这 是 如 何 发 生 的 并 给 出 解决 方法 。 如 果 不 是 ， 请 说 明 。 
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等 价 与 精 化 





本 章 讨 论 对 状态 机 与 诸如 轨迹 等 价 、 轨 迹 包含 、 模 拟 及 互 模拟 等 其 他 模 态 模型 进行 比较 
的 一 些 基 础 性 方法 。 这 些 方法 与 机 制 可 以 被 用 于 检查 状态 机 相对 于 规格 的 一 致 性 。 


14.1 规格 模型 


上 一 章 提供 了 无 歧义 地 描述 系统 在 正确 、 安 全 运行 时 所 需 属性 的 一 组 技术 ， 这 些 属 性 采 
用 线性 时 态 逻 辑 进 行 表 示 ， 其 可 以 简明 地 描述 有 限 状 态 机 轨迹 所 必须 满足 的 需求 。 描 述 需求 
的 另 一 个 替代 性 方法 是 提供 一 个 模型 ， 即 一 个 规格 ， 其 呈现 所 期 望 的 系统 行为 。 规 格 通常 都 
是 非常 抽象 的 ， 而 且 较 一 个 系统 的 有 效 实现 可 能 会 呈现 出 更 多 的 行为 。 但 是 ， 作 为 一 个 有 效 
的 规格 ， 关 键 在 于 其 必须 要 显 式 地 排除 不 期 望 的 或 者 危险 的 行为 。 


ARD 一 个 简单 的 交通 灯 规 格 可 以 描述 为 :“ 所 有 灯 都 应 该 以 绿灯 、 黄 灯 、 红 灯 的 
顺序 依次 转换 。 例 如 ， 永 远 不 能 直接 从 绿灯 转 到 红 灯 ， 或 者 直接 从 黄 灯 转 到 绿灯 。” 这 个 需 
求 可 表示 为 时 态 软 辑 公 式 (如 示例 13.13 中 所 示 )， 或 者 表示 为 一 个 抽象 的 模型 (如 图 3-12 
所 示 )。 


本 章 的 主题 是 抽象 规格 模型 的 使 用 ， 以 及 如 何 将 这 些 模型 与 一 个 系统 实现 和 时 态 逻 辑 公 
式 进行 关联 。 


GRE 我 们 将 用 述 如 何 证 明 图 3-10 中 的 交通 灯 模 型 是 图 3-12 中 规格 的 一 个 有 效 
实现 。 另外， 图 3-10 中 模型 的 所 有 轨迹 都 满足 示例 13.13 中 的 时 态 座 辑 公式 ， 但 是 并 非 图 
3-12 所 示 规格 中 的 所 有 轨迹 都 是 满足 的 。 因 此 ， 这 两 个 规格 并 不 相同 。 


本 章 内 容 主要 是 关于 模型 的 比较 ， 以 及 关于 如 何 确定 一 个 模型 可 被 用 来 替代 男 一 个 模 
型 。 这 使 得 一 个 工程 设计 过 程 成 为 可 能 ， 即 我 们 从 期 望 和 非 期 望 行为 的 抽象 描述 开始 ， 进 而 
对 模型 求 精 直至 其 能 为 一 个 完整 的 实现 提供 足够 详细 的 信息 。 本 章 还 会 告诉 我 们 何 时 可 以 安 
全 地 更 改 一 个 实现 ， 如 将 其 替换 为 另 一 个 有 可 能 会 降低 实现 成 本 的 实现 。 


14.2 ”类 型 等 价 与 精 化 


我 们 从 两 个 模型 之 间 的 简单 关系 开始 ， 即 仅 比较 它们 与 所 处 环境 进行 通信 的 数据 类 型 。 
具体 目标 是 确保 适用 于 模型 4 的 任何 环境 也 可 以 适用 于 模型 8， 且 不 会 引起 数据 类 型 冲突 。 
我 们 要 求 模型 能 够 接受 模型 4 可 接受 的 任意 环境 输入 ， 以 及 接受 4 的 任何 输出 的 环境 也 
将 能 够 接受 B 的 任何 输出 。 

为 了 使 得 问题 更 加 具体， 分 别 为 4 和 8B 假设 一 个 参 元 模型 ， 如 图 14-1 所 示 。 图 中 4 具 
有 三 个 端口 ， 其 中 两 个 是 表示 为 集合 P(x, w 的 输入 端口 ， 一 个 是 表示 为 集合 Qiy) 的 输 
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出 端口 。 这 些 端 口 表 示 了 4 与 其 所 处 环境 之 间 的 通信 。 输 入 的 类 型 为 V A V KERETE 
参 元 的 响应 上 ， 和 输入 的 值 将 是 集合 V, V 中 的 成 员 。 


x: V, y: V, 
w: Vy A 


Pr= {x, w} Ou = {y} (1) Ps Pa 
ine | [me (2) QE Ox 
(3) Vp © Ps, VpS Vp 


mes yi Vy (4) Ya E Qa, Va Vy 
ore 


Ps = {x} Os = {y, z} 
图 14-1 ADRES. WR UOT BB. ABA 8 就 是 4 的 一 个 类 型 精 化 


如 果 我 们 打算 在 某 些 环境 下 用 下 来 替换 4， 就 要 对 这 些 端口 及 其 类 型 施加 如 下 四 个 约 
RK. 
1) 第 一 条 约束 : 模型 8 不 会 需要 环境 所 不 提供 的 输入 信和 号。 如 果 8 的 输入 端口 给 定 为 
SEG Ps, MBA, BARA sk (14.1) 保证 。 
P,cP, (14.1) 
8B 的 端口 是 4 的 端口 的 一 个 子 集 。4 具有 多 于 8 的 端口 是 无 害 的 ， 因 为 如 果 B 在 某 些 环 
境 下 替代 4， 它 可 以 简单 地 忽略 那些 不 需要 的 输入 信号 。 s 
2) 第 二 条 约束 : B Aih AK REBORN PA aS. BEAT Past (14.2) 来 保证 。 其 
H, O, 是 4 的 输出 端口 集合 ，2s 是 B 的 输出 端口 集合 。B 提供 的 额外 输出 是 无 害 的 ， 因 为 
接受 A 的 环境 并 不 关心 这 些 输出 ， 因 此 可 以 忽略 这 些 输出 信号 。 
Qc Og (14.2) 
剩 下 的 两 条 约束 处 理 端口 的 类 型 。 令 一 个 输入 端口 PE P WER V, ARR p 可 接 
受 的 一 个 输入 值 "满足 v E Vp & V RIRA mO p E Ps 的 类 型 。 
3) 第 三 条 约束 : 如 果 环 境 在 4 可 接受 的 输入 端口 p 上 提供 一 个 值 v E V,, ZJA wR p 
也 是 B 的 一 个 输入 端口 ， 那 么 该 值 对 于 B 也 是 可 接受 的 ; BD, v E V'。 这 条 约束 可 简洁 地 写 
AX (14.3 )。 
Vp E P;,V,cV, (14.3) 
令 一 个 输出 端口 9 E O, 的 类 型 为 V, ANT g E O, 的 类 型 为 Vlo 
4) 第 四 条 约束 : 如 果 8B 在 一 个 输出 端口 9 上 输出 一 个 值 v E VJ, ABA OZR q 也 是 4 
的 一 个 输出 端口 ， 该 值 对 任何 使 4 可 以 运行 的 环境 而 言 就 必须 是 可 接受 的 。 可 表示 为 式 
(14.4). 
Vg E Qp VET, (14.4) 
式 (14.1) ~A (14.4) 这 四 条 约束 总 结 在 图 14-1 中 。 当 这 四 条 约束 都 被 满足 时 ， 就 说 
模型 B 是 模型 4 的 类 型 精 化 (type refinement), We B Æ A 的 类 型 精 化 ,那么 在 任何 环境 
中 使 用 她 来 替代 4 将 不 会 引起 类 型 系统 问题 。 当 然 ， 这 可 能 会 引起 其 他 问题 ， 因 为 B 的 行 
为 可 能 是 环境 所 不 接受 的 ， 这 些 问题 将 在 后 续 章 节 中 进行 处 理 。 
如 果 B 是 4 的 一 个 类 型 精 化 ， 且 4 是 B 的 一 个 类 型 精 化 ， 那 么 我 们 说 4 和 B 类 型 等 价 
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(type equivalent)。 它 们 拥有 相同 的 输入 和 输出 端口 ， 而 且 端 口 的 类 型 也 相同 。 


令 4 表 示 图 3-12 中 的 非 确 定性 交通 灯 模 型 ，B 表示 图 3-10 中 更 为 详细 的 确 
定性 模型 。 对 于 两 个 状态 机 而 言 ， 其 端口 以 及 端口 的 类 型 完全 相同 ， 因 此 它们 是 类 型 等 价 
的 。 从 而 ,在 任何 环境 中 使 用 BB 替代 4 或 者 反 过 来 都 不 会 引起 类 型 系统 问题 。 
请 注意 ， 图 3-12 忽略 了 pedestrian 输入 ， 且 忽略 该 端口 似乎 是 合理 的 。 令 4 代表 图 
3-12 中 没有 pedestrian 输入 的 一 个 模型 变 体 ， 那 么 在 所 有 环境 中 用 BB 来 代 蔡 4' 就 是 不 安全 
的 。 这 是 因为 如 需要 一 个 pedestrian 输入 信号 ,但 4' 可 被 用 于 不 提供 该 输入 的 环境 中 。 


抽象 与 精 化 

本 章 关注 于 抽象 (abstraction) 和 精 化 (refinement) 这 两 类 模型 之 间 的 关系 。 这 两 个 
术语 是 对 称 的 ， 因 为 声明 “模型 4 是 模型 B 的 一 个 抽象 ”就 意味 着 “模型 是 模型 4 的 
一 个 精 化 ”。 作 为 一 个 通用 规则 ， 精 化 模型 B 比 抽象 4 具有 更 多 的 细节 ， 且 抽象 更 加 简 
单 、 更 小 或 者 更 易于 理解 。 

如 果 这 些 对 抽象 为 真 的 属性 对 其 精 化 也 是 真 的 话 ， 这 个 抽象 就 是 合理 的 (关于 一 些 
属性 的 形式 化 系统 )。 例如， 属性 的 形式 化 系统 可 以 是 状态 机 的 一 个 类 型 系统 、 线 性 时 
态 逻 辑 或 者 语言 。 在 形式 化 系统 是 线性 时 态 逻 辑 时 ， 如 果 对 于 4 成 立 的 每 个 线性 时 态 远 
辑 公式 对 于 BB 也 成 立 ， 那 么 4 就 是 8 的 一 个 合理 抽 但 。 在 证 明 一 个 公式 对 4 成 立 比 证 明 
其 对 B 成 立 更 容易 时 ， 这 会 是 非常 有 用 的 ， 如 B 的 状态 空间 远 远 大 于 4 的 状态 空间 。 

如 果 这 些 对 精 化 为 真 的 属性 对 于 抽象 也 为 真 的 话 ， 一 个 抽象 是 完备 的 (关于 一 些 属 
性 的 形式 化 系统 )。 倒 如 属性 的 形式 化 系统 是 线性 时 态 逻 辑 时 ， 如 果 每 一 个 对 于 媚 成 立 
的 线性 时 态 逻 辑 公 式 对 于 4 也 成 立 ， 那 么 4 就 是 B 的 一 个 完备 抽象 。 可 用 的 抽象 通常 是 
合理 但 不 完备 的 ， 因 为 创建 一 个 非常 简化 或 更 小 的 完备 抽象 极为 困难 。 

例如 ， 考 虑 一 个 基于 命令 式 语言 (如 C 语言 ) 的 多 线程 程序 。 我 们 可 能 构建 一 个 
忽略 变量 值 并 用 非 确 定性 选择 来 替代 所 有 分 支 和 控制 结构 的 抽象 4。 很 显然 ， 该 抽象 较 
程序 的 信息 要 更 少 ， 但 是 它 对 证 明 程 序 的 某 些 属性 (如 互 斥 锁 属性 ) 可 能 已 经 够 用 。 





14.3 语言 等 价 与 包含 


要 想 用 状态 机 B 来 奉 换 状态 机 4， 仪 单独 关注 输入 和 输出 的 数据 类 型 通常 是 不 够 的 。 如 
果 4 是 一 个 规格 且 B 是 一 个 实现 ， 那么 ,通常 4 会 规定 更 多 的 约束 ， 而 不 仅仅 是 数据 类 型 。 
如 果 Be A 的 一 个 优化 (例如 一 个 更 低 成 本 的 实现 ,或 者 增加 了 功能 或 利用 了 新 技术 的 一 个 
精 化 )， 那 么 ，B 通常 需要 以 某 种 方式 与 4 的 功能 保持 一 致 。 

TEATS, 我们 将 关注 等 价 和 精 化 的 一 个 更 为 强大 的 形式 。 具 体 而 言 ， 等 价 意 味 着 给 定 一 
个 输入 估 值 的 特定 序列 ， 这 两 个 状态 机 会 产生 相同 的 输出 估 值 。 


AE E 3-a 中 的 停车 场 计数 器 (如 示例 3.4 中 所 讨论 的 ) 是 图 3-8 中 扩展 状态 机 
版 本 的 类 型 等 价 ， 其 参 元 模型 如 下 所 示 。 


i count: {0, =, M} 
down: pure 计数 器 
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然而 ， 这 两 个 状态 机 不 仅仅 是 较为 简单 的 类 型 等 价 ， 其 具有 更 深 的 等 价 内涵 。 从 外 部 
看 ， 这 两 个 状态 机 表现 出 完全 一 致 的 行为 : 给 定 相同 的 输入 序列 ， 这 两 个 状态 机 将 给 出 相同 
的 输出 序列 ， 


来 看 一 个 类 型 为 V, 的 状态 机 端口 p。 该 端口 将 有 一 个 取 自 集合 V, U {absent} 的 值 的 序 
列 ， 每 个 响应 上 有 一 个 值 。 我 们 可 以 将 该 序列 表示 为 如 下 形式 的 一 个 函数 。 
s,: N— V, U {absent} 
这 是 该 端口 (如 果 其 是 输入 端口 ) 接收 的 信号 ， 或 者 该 端口 (如果 其 是 输出 端口 ) 输出 
的 信号 。 根 据 前 文 可 知 ， 状 态 机 的 一 个 行为 是 这 样 一 个 信号 到 状态 机 每 一 个 端口 的 一 次 分 


配 ， 也 即 状态 机 M 的 语言 LOM) 是 该 状态 机 所 有 行为 的 集合 。 如 果 两 个 状态 机 拥有 相同 的 语 
言 ， 就 说 这 两 个 状态 机 是 语言 等 价 的 (language equivalent) 。 


qi» 停车 场 计 数 器 的 行为 对 于 up 和 down 两 个 输入 而 言 是 present 和 absent 的 一 
个 序列 ， 其 与 端口 count 的 输出 序列 相对 应 。 示 例 3.16 给 出 了 一 个 具体 实例 ， 这 是 图 3-4 和 
图 3-8 两 者 都 有 的 一 个 行为 。 图 3-4 的 所 有 行为 也 都 是 图 3-8 的 行为 ， 反 之 亦 然 。 由 此 ， 这 
两 个 状态 机 是 语言 等 价 的 。 


对 于 非 确定 性 状态 机 M， 两 个 不 同 的 行为 可 能 共享 相同 的 输入 信号 。 也 就 是 说 ， 给 定 一 
个 输入 信号 ， 可 能 会 出 现 多 于 一 个 的 输出 序列 。 语 言 L(M) 包括 了 所 有 可 能 的 行为 。 就 像 确 
定性 状态 机 一 样 ， 如 果 两 个 非 确 定性 状态 机 具有 相同 的 语言 ， 那 它们 就 是 语言 等 价 的 。 

假设 对 于 两 个 状态 机 4 ALB, A L(A)CL(B), 也 就 是 说 ,，B 具有 4 所 没有 的 行为 。 这 被 
称 为 语言 包含 ( language containment). A 被 称 为 是 8 的 语言 精 化 (language refinement)。 
与 类 型 精 化 一 样 ， 语 言 精 化 对 4 替代 B 的 适用 性 做 了 一 个 声明 。 如 果 B 的 每 一 个 行为 对 于 
环境 而 言 是 可 接受 的 ，4 的 每 一 个 行为 也 应 该 被 该 环境 所 接受 ，4 就 可 以 替代 Bo 


GEIR 四 14-2 中 的 状态 机 Mi 和 1 是 语言 等 价 的 ， 两 个 状态 机 产生 输出 
1,1,0,1,1,0,…， 如 果 输 入 在 某 些 响 应 中 是 不 存在 的 ， 该 序列 中 可 能 穿插 有 absent. 


输入 : x: pure x/l 
myi (ON) x/0 
l > 
x/0 G Ce) 
xf 1 
Mı 
a) 
x) 1 zit 
wn Get) ) 
x/0 
M3 





c) 


图 14-2 三 个 状态 机 (a 和 b 具有 相同 的 语言 ， 且 该 语言 被 c 中 的 语言 包含 ) 
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AT, RAHM, 具有 更 多 的 行为 。 该 状态 机 可 以 输出 状态 机 Mi FM, 可 生成 的 任何 输 
出 序列 ， 但 是 它 对 于 给 定 的 相同 输入 也 能 生成 其 他 输出 。 为 此 ,Mi 和 M, 都 是 Ms; 的 语言 精 化 。 





有 限 序列 和 接受 状态 
本 书 所 涉及 有 限 状态 机 的 一 次 完整 执行 是 无 限 的 。 假 设 我 们 仅 关 心 有 限 执行 ， 为 
此 ， 我 们 引入 接受 状态 (accepting state) 的 概念 ， 该 状态 用 双 轮 廊 标 记 ， 如 下 例 中 的 状 
态 b。 
输入 :x: {0,1} l/y 
输出 :y: pure O 


0/y ary l/y 


© 

4 L(M) 表示 语言 L(M) 的 子 集 ， 其 源 自 结束 在 一 个 接受 状态 的 所 有 执行 。 等 价 地 ， 
Ls(M) 仅 包括 L(M) 中 的 这 些 行为 一 一 具有 保持 在 一 个 接受 状态 中 的 卡 顿 响应 的 一 个 无 限 
尾部 。 所 有 这 样 的 执行 实际 上 都 是 有 限 的 ， 这 是 由 于 在 有 限 数 量 个 响应 之 后 ， 输 入 和 输 
出 从 此 往 后 将 为 abpsent， 或 者 在 线性 时 态 逻 辑 中 每 个 端口 p 为 FG-p， 

我 们 将 L,(M) 称 为 是 有 限 状 态 机 M 可 接受 的 语言 。L,(M) 中 的 一 个 行为 是 每 个 端 
口 p 指定 的 一 个 串 (string), 或 者 类 型 为 VV, 的 值 的 有 限 序 列 。 对 于 上 例 ， 输 入 串 (1), 
(1,0,1 )、( 1,0,1,0,1 ) 等 都 在 L,(M) 中 。 在 任何 两 个 存在 的 值 之 间 有 任意 有 限 个 absent 值 
的 版 本 也 是 如 此 。 当 没有 歧义 时 ， 我 们 可 以 将 这 些 串 写 为 1、101、10101 等 。 

在 上 例 L(M 包含 的 所 有 行为 中 ， 当 在 相同 的 响应 中 输入 为 存在 时 ， 输 出 也 会 有 限 
次 地 为 存在 。 

本 书 中 的 状态 机 是 可 接受 的 ， 这 意味 着 在 每 个 响应 上 ， 每 个 输入 端口 p 可 能 是 类 型 
AV, MAE AAA absent, As, 上述 状 态 机 的 语言 L(M) 就 包括 了 所 有 可 能 的 输入 估 
值 序列 。L,(M) 排除 了 任何 不 能 让 状态 机 处 于 接受 状态 的 序列 。 例如， 任何 有 连续 两 个 ] 
的 输入 序列 以 及 无 限 序列 (1,0,1,0,…) 都 在 集合 L(M) F, RE L, (M) Po 

请 注意 ， 在 引用 状态 机 接受 的 语言 时 ， 有 时 考虑 语言 包含 而 不 是 那些 给 出 状态 机 所 
有 行为 的 语言 是 有 用 的 。 

接受 状态 也 被 称 为 最 终 状态 (final state)， 因 为 对 于 工 ,(M) 中 的 任何 行为 ， 它 是 状态 
机 的 最 后 一 个 状态 。 我 们 将 在 习题 2 中 进一步 探究 接受 状态 。 


正则 语言 与 正则 表达 式 

语言 是 由 其 字母 表 (alphabet) 集合 中 的 值 所 组 成 序列 的 集合 。 可 以 被 有 限 状 态 机 接 
受 的 语言 被 称 为 正则 语言 (regular language)。 非 正则 语言 的 一 个 典型 实例 是 具有 0"1" GB 
式 的 序列 ， 即 nn 个 1 紧 跟 n 个 0 的 序列 。 很 容易 看 到 有 限 状 态 机 不 接受 这 个 语言 ， 因 为 
状态 机 将 不 得 不 统计 0 的 数量 以 确保 1 的 数量 与 之 匹配 。 并 且 , 0 的 数量 并 不 是 有 限 的 。 
“有 限 序 列 和 接受 状态 ”注解 栏 中 的 有 限 状 态 机 可 以 接受 的 形式 为 10101…01 的 输入 序 
列 是 正则 的 。 

正则 表达 式 ( regular expression) 是 用 于 描述 正则 语言 的 符号 表示 方法 。 正 则 表达 
式 的 一 个 核心 特征 是 Kleene 星 号 (或 Kleene 闭 包 )， 其 以 美国 数学 家 Stephen Kleene 
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的 名 字 命 名 。 记 号 Wr， 表示 集合 信 中 元 素 所 组 成 的 所 有 有 限 序 列 的 集合 ， 例如， 如 果 
V={0,1}, ABA V* 就 是 一 个 包括 空 序列 ( 常 记 为 入 ) 和 所 有 由 0 和 1 组 成 的 有 限 序列 的 
集合 。 

Kleene 星 号 可 以 被 应 用 于 序列 的 集合 。 例如， 如 果 A={00,11}, MBA A* 是 所 有 这 些 
0 和 1 都 成 对 出 现 的 有 限 序列 的 集合 。 在 正则 表达 式 的 记 法 中 ， 这 被 写 为 (00|11)*， 其 中 
坚 线 表示 “或 "”， 括 号 中 的 部 分 定义 了 集合 4。 

正则 表达 式 是 字母 表 以 及 一 组 序列 集合 中 符号 的 序列 。 假 设 我 们 的 字母 表 是 
4={a,b,…;z}， 即 小 写字 母 的 集合 。 那 么 grey 是 一 个 正则 表达 式 ， 其 表示 了 一 个 四 字 和 外 
的 单个 序列 。 表 达 式 greylgray 表示 了 两 个 序列 组 成 的 集合 。 括 号 可 用 于 对 多 个 序列 或 者 
序列 的 多 个 集合 进行 分 组 ， 如 (grey)|(gray) 以 及 gr(ela)y 表示 了 相同 的 集合 。 

正则 表达 式 也 提供 便捷 的 表示 方法 以 使 其 更 加 精炼 和 可 读 。 例 如 ,“+” 操 作 符 表示 
“至 少 一 次 ”日 ， 相 反 地 ，Kleene FMA “OKASR” ©, Hla, at 指定 了 ay aa, 
aaa 等 序列 ， 其 与 a(a*) 相同 。“?” 操 作 符 表示 “最 多 一 次 ”号 。 例 如 ，colou?r 指定 了 两 
个 序列 color 和 colour 的 集合 ， 这 与 colo( 入 |ur A, HP 入 表示 空 序列 。 

正则 表达 式 通常 被 运用 于 模式 匹配 的 软件 系统 中 ， 通 常 在 实现 中 会 提供 比 这 里 所 示 
的 更 多 的 便捷 符号 。 





语言 包含 可 以 确保 一 个 关于 输入 输出 序列 的 线性 时 态 逻 辑 公式 的 抽象 是 合理 的 。 也 就 是 
说 ， 如 果 4 是 互 的 语言 精 化 , 那么 ， 对 好 成 立 的 关于 输入 输出 的 任何 线性 时 态 逻 辑 公式 对 
A 也 成 立 。 


ED 再 未 看 图 14-2 中 的 状态 机 ，M 可 能 是 一 个 规格 。 例 如 ， 如 果 我 们 要 求 任意 
两 个 输出 值 0 之 间 至 少 插入 一 个 1， 那 么 M; 就 是 满足 该 要 求 的 一 个 合适 的 规格 。 这 个 要 求 
可 以 被 写作 如 下 形式 的 线性 时 态 逻 辑 公式 。 

G((v = 0) = X((v # OUG= 1))) 
如 果 我 们 证 明 该 属性 对 My 成 立 ， 那 么 也 就 隐 售 地 证 明 其 对 M, 和 OM, 都 成 立 。 


延伸 探讨 : Omega 正则 语言 
前 面 讨论 的 正则 语言 仅 包 括 了 有 限 序列 ， 但 大 多 数 眶 入 式 系统 通常 具有 无 限 执行 的 
特点 。 为 了 将 正则 语言 的 思想 扩展 到 无 限 运 行 ， 我 们 可 以 使 用 一 个 Buchi 自动 机 ( Biichi 
automaton， 以 瑞士 逻辑 学 家 、 数 学 家 Julius Richard Biichi 的 名 字 命 名 )。Biichi 自动 机 


是 一 个 可 能 不 确定 的 、 具 有 一 个 或 多 个 接受 状态 的 有 限 状 态 机 。 该 有 限 状态 机 所 接受 的 
语言 被 定义 为 无 限 经 常 访问 一 个 或 多 个 接受 状态 的 行为 的 集合 ; 换 和 句 话 说 ， 这 些 行 为 满 
足 线性 时 态 逻 辑 公式 GF(s, V…V s), HEP sp 5, 是 一 组 接受 状态 。 这 样 的 语言 被 称 
A omega 正则 语言 (或 者 四 正则 语言 )， 是 正则 语言 的 一 个 泛 化 形式 。 之 所 以 在 名 字 中 
使 用 四 ， 是 因为 中 被 用 于 构建 无 限 序 列 ， 如 附录 A 中 注解 栏 所 给 出 的 解释 。 





O 加 号 前 的 符号 必须 至 少 出 现 一 次 。 一 一 译 者 注 
O 星 号 前 面 的 符号 可 以 不 出 现 ， 也 可 以 出 现 一 次 或 者 多 次 。 一 一 译 者 注 
O 问号 之 前 的 字符 出 现 0 次 或 一 次 。 一 一 译 者 注 


如 我 们 将 在 第 15 章 中 看 到 的 一 样 ， 很 多 模型 检验 问题 可 以 用 一 个 Biichi 自动 机 来 表 


示 ， 进 而 检验 其 所 定义 的 @ 正则 语言 是 否 包 含 任何 序列 。 





在 下 一 节 中 我 们 将 会 看 到 ,语言 包含 对 于 涉及 状态 机 状态 的 线性 时 态 逻 辑 公式 是 不 合理 
的 。 实 际 上 ， 语 言 包含 并 不 要 求 这 些 状态 机 要 具有 相同 的 状态 ， 因 此 ， 一 个 涉及 状态 机 状态 
的 线性 时 态 逻 辑 公 式 甚至 可 能 不 适用 于 另外 的 状态 机 。 需 要 对 一 个 引用 这 些 状 态 的 合理 抽象 
进行 模拟 。 

语言 包含 有 时 被 称 为 轨迹 包含 〈trace containment)， 但 是 在 这 里 “轨迹 ”一 词 仅 指 可 观 
察 的 轨迹 ， 而 不 是 执行 轨迹 。 接 下 来 我 们 将 看 到 ， 当 考虑 执行 轨迹 时 情况 将 变 得 更 加 不 同 。 


14.4 ”模拟 


两 个 非 确定 性 有 限 状 态 机 可 能 是 语言 等 价 的 ,但 是 在 某 些 环境 下 仍然 会 在 行为 上 有 显著 
的 差异 。 语 言 等 价 仅 是 说 明 在 给 定 相同 的 输入 估 值 序列 时 ， 两 个 状态 机 能 够 生成 相同 的 输出 
估 值 序列 。 然 而 ， 执 行 时 它们 会 在 非 确定 性 允许 范围 内 做 出 选择 。 如 果 不 能 预见 接 下 来 的 变 
化 ， 这 些 选 择 可 能 导致 其 中 一 个 状态 机 进入 不 再 匹配 另 一 个 状态 机 输出 的 状态 。 

当面 对 非 确定 性 选择 时 ， 每 个 状态 机 都 可 无 约束 地 使 用 策略 来 做 出 选择 。 假 设 状 态 机 不 
能 看 到 未 来 的 发 展 过 程 ， 也 就 是 说 其 不 能 预测 未 来 的 输入 ， 且 不 能 预知 另 一 个 状态 机 将 要 做 
出 的 选择 。 为 了 让 两 个 状态 机 等 价 ， 我 们 将 要 求 每 个 状态 机 都 能 够 做 出 使 其 匹配 另 一 个 状态 
机 响应 ( 即 给 出 相同 的 输出 ) 的 选择 ， 进 而 允许 其 在 未 来 持续 地 如 此 运行 。 事 实证 明 ， 语 言 
等 价 并 不 足以 保证 这 种 可 能 性 。 


ED E 14-3 给 出 了 两 个 状态 机 。 假 设 M 在 某 些 环境 下 是 可 接受 的 (其 在 该 环境 
中 呈现 的 每 个 行为 与 某 个 规格 或 者 设计 意图 是 一 致 的 )。 那 么 ， 用 Mi 替代 M 是 安全 的 吗 ? 
这 两 个 状态 机 是 语言 等 价 的 。 在 两 个 状态 机 的 所 有 行为 中 ， 输 出 是 01 或 00 两 个 有 限 串 之 
一 ， 因 此 看 起 来 可 以 用 Mi 替代 M,。 但 事实 并 非 如 此 。 

假设 用 使 得 M, 可 接受 的 每 个 状态 机 的 环境 副本 来 构建 该 状态 机 。 在 x 为 present 的 第 一 
个 响应 中 ，M 除了 转换 到 状态 b 并 产生 输出 y=0 之 外 别 无 选择 。 然 而 ，M, 必须 在 状态 f 和 和 
h 之 间 进 行 选择 。 无 论 其 选择 哪 一 个 ，M, 都 匹配 M 的 输出 y=0， 但 是 其 进入 了 一 个 不 能 总 
是 匹配 Mi 输出 的 状态 。 如 果 Ml 在 进行 选择 时 可 以 观察 到 M 的 状态 ， 那么 在 x 为 Present 
的 第 二 个 响应 中 ， 它 就 能 够 选择 一 个 M, 永远 不 能 匹配 的 迁移 。 对 于 MI， 这 样 的 策略 确保 了 
在 给 定 相 同 输入 的 情况 下 ，M 的 行为 从 不 与 MWAH. Al, 使 用 Mi 来 替代 M 就 
是 不 安全 的 。 

另 一 方面 ， 如 果 Mi 在 某 些 环境 下 是 可 接受 的 ， 用 4 来 替代 Mi 是 安全 的 吗 ? ME 
该 环境 下 是 可 接受 的 ， 其 表示 M 所 做 的 任何 决策 都 是 可 接受 的 。 为 此 ， 在 x 为 present 的 
第 二 个 响应 中 ， 两 个 输出 y=1 和 y=0 都 是 可 接受 的 。 在 第 二 个 响应 中 ，M, 除了 生成 这 些 输 
出 中 的 一 个 之 外 别 无 选择 ， 并 且 将 不 可 避免 地 转换 到 继续 匹配 Mi 输出 的 状态 (此 后 永远 为 
absent), Alt, Fl M, 来 替代 M 就 是 安全 的 。 


在 上 例 中 ,我 们 可 以 把 这 些 状态 机 看 作 使 M 看 起 来 与 M, 不 同 的 刻意 尝试 。 由 于 它们 
都 可 以 自由 地 选择 任何 策略 来 做 出 选择 ， 所 以 它们 自由 地 使 用 了 与 我 们 使 用 M, 替代 M, 这 
一 目标 相反 的 策略 。 请 注意 ， 这 些 状 态 机 不 需要 知道 下 一 步 会 怎样 ， 它 们 仅仅 对 于 当前 具有 
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良好 的 可 见 性 就 足够 了 。 我 们 在 本 节 要 提出 的 问题 是 : 在 何 种 情形 下 ， 我 们 可 以 确保 没有 能 
够 使 状态 机 Mi 明显 不 同 于 M 的 非 确 定性 选择 策略 ? 该 问题 的 答案 是 称 为 互 模拟 的 更 强 的 
等 价 形 式 以 及 称 为 模拟 的 精 化 关系 。 以 下 我 们 从 模拟 关系 开始 讨论 。 


输入 : x: pure 输入 : x: pure 
输出 : y: {0,1} 输出 : y: {0,1} 


as =a TELO 

o 

‘i O m OTO 
a) b) 


图 14-3 ”语言 等 价 但 M, 不 模拟 M, (M, 模拟 M) 的 两 个 状态 机 


14.4.1 模拟 关系 


首先 ， 请 注意 示例 14.8 中 给 出 的 情形 是 非 对 称 的 。 用 M, 代替 Mi, 是 安全 的 ， 但 反 过 来 
并 非 如 此 。 因 此 ， 从 我 们 如 今 要 建立 的 意义 上 说 ，M 是 M 的 一 个 精 化 ， 而 M 并 不 是 Ml 
的 精 化 。 

我 们 现在 要 关注 的 特定 精 化 类 型 是 模拟 精 化 ( simulation refinement), Hih FAURE S 
价 的 : 

e M, 是 Mi 的 模拟 精 化 ; 

e M, 模拟 M,; 

o M, 是 M, 的 模拟 抽象 。 

模拟 ( simulation) 由 一 个 匹配 游戏 (matching game) 来 定义 。 为 了 确定 M 是 否 模拟 
M,， 我 们 来 玩 一 个 M, 在 每 一 轮 率 先 移动 的 游戏 。 该 游戏 从 两 个 状态 机 处 于 初始 状态 开始 ， 
M, 首先 通过 响应 一 个 输入 估 值 而 移动 。 如 果 这 个 响应 包括 了 一 个 非 确 定性 选择 ， 那 么 它 将 
可 以 做 任何 选择 。 但 无 论 它 选择 了 什么 ， 都 将 产生 一 个 输出 估 值 且 M 的 此 次 移动 结束 。 

接 下 来 轮 到 Mi 进行 移动 。Mi 必须 对 M 已 响应 的 相同 输入 佑 值 做 出 响应 。 如 果 响 应 包 
括 了 一 个 非 确 定性 选择 ， 那 么 它 就 必须 做 出 匹配 M, 输出 估 值 的 选择 。 如 果 存 在 多 个 这 样 的 
选择 ， 其 就 必须 在 不 知道 未 来 输入 或 M, 未 来 移动 的 情况 下 选择 其 中 的 一 个 。 其 策略 应 该 是 
选择 能 够 持续 匹配 M, 的 那个 ， 而 不 用 考虑 将 要 到 来 的 输入 是 什么 或 者 M 将 做 出 什么 决策 。 

如 果 对 于 所 有 可 能 的 输入 序列 ， 状 态 机 M, 能 够 一 直 匹 配 状态 机 M, 的 输出 符号 ， 那 么 
状态 机 M, 就 在 这 场 匹 配 游戏 中 “获胜 ”( Mi 模拟 M, )。 如 果 在 M, 的 响应 中 可 以 输出 M, 不 
能 匹配 的 输出 ， 那 么 M, 就 不 模拟 Mo 


GID £48 14-3 +, M RUM, 但 反之 并 不 成 立 。 为 了 理解 这 一 点 ， 首 先进 行 
M 在 每 一 轮 率先 移动 的 游戏 一 一 Mi 将 总 是 能 够 匹配 M,。 之 后 ， 再 进行 Mi 在 每 一 软 率 先 
移动 的 游戏 一 一 M, 将 不 能 总 是 匹配 Mi。 即 使 这 两 个 状态 机 是 语言 等 价 的 ， 真 实情 况 也 仍 是 
如 此 。 





有 意思 的 是 ， 如 果 M 模拟 M,， 那 么 精简 地 记录 所 有 可 能 输入 上 的 全 部 情形 就 是 可 能 
的 。 令 3 是 Mi 的 状态 , 5; 是 M, 的 状态 。 由 此 ， 一 个 模拟 关系 Sc S x 5S, 是 对 于 所 有 可 能 
会 人 的 每 一 轮 游戏 中 两 个 状态 机 所 处 状态 对 的 集合 。 这 个 集合 涵盖 了 所 有 可 能 的 游戏 过 程 。 
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# A 14-3 +, S,={a,b,c,d} E Sj={e,f,g,h,i}。 表 示 Mi 模拟 M 的 模拟 关系 
定义 如 下 。 
S={(e,a), (fb), (h,b), (g,c), (i,d)} 
首先 ， 请 注意 该 关系 中 的 初始 状态 对 (e,a)， 显 然 ， 该 关系 包括 了 第 一 轮 中 两 个 状态 机 的 
状态 。 在 第 二 轮 ，M, 可 能 是 状态 f 或 者 h， 且 Mi 将 处 于 状态 b， 这 两 种 可 能 性 也 得 到 表示 。 
在 第 三 轮 及 往 后 ，M, 将 在 状态 g 或 者 i 中 ,而 Mi 将 处 于 状态 c 或 者 d。 
因为 M, 并 不 模拟 Mi， 所 以 并 不 存在 M, 模拟 Mi 的 模拟 关系 。 


如 果 一 个 模拟 关系 涵盖 了 所 有 可 能 的 游戏 过 程 ， 那 么 它 就 是 完备 的 。 因 为 M, 的 移动 
不 受 限 制 ， 所 以 必须 考虑 率先 移动 的 M 状态 机 的 所 有 可 达 状 态 。 由 于 M, 的 移动 需要 匹配 
M,， 因 此 不 必 考 虑 它 的 所 有 可 达 状 态 。 


14.4.2 ”形式 化 模型 


使 用 3.5.1 节 给 出 的 非 确定 性 有 限 状态 机 的 形式 化 模型 ， 我 们 就 可 以 形式 化 地 定义 一 个 

模拟 关系 。 令 
M, = {States,, Inputs, Outputs, possibleUpdates,, initialState,\ 
HA 
M, = {States,, Inputs, Outputs, possibleUpdates,, initialState,\ 

假设 这 两 个 状态 机 是 类 型 等 价 的 。 如 果 任 一 状态 机 是 确定 性 的 ， 那么 它 的 
possibleUpdates 图 数 将 总 是 返回 一 个 只 有 一 个 元 素 的 集合 。 如 果 M 模拟 M,， 模 拟 关 系 可 给 
EN States, x States, 的 一 个 子 集 。 请 注意 这 里 的 顺序 : 该 游戏 中 率先 移动 的 状态 机 M 是 被 
模拟 的 ， 在 关系 States, x States, 中 是 第 一 项 。 

再 来 看 与 之 相反 的 情形 ， 如 果 M, 模拟 M,, 那么 该 关系 就 是 States x States, 的 一 个 子 
集 。 在 这 个 游戏 中 ，M 必须 率先 移动 。 

我 们 也 可 以 用 数学 的 方式 来 描述 “获胜 ”策略 。 我 们 说 M 模拟 M,， 则 如 果 有 一 个 子 集 
SC States, x States!， 就 有 : 

1 ) (initialState,, initialState, ) E S 

2) MR (s,,5,) E S, 那么 Vx E Inputs, A V(s5, ya) E possibleUpdates, (s,, x), 

那么 会 有 (sf, y,) E possibleUpdates, (s1, x)， 且 具有 以 下 关系 : 

(a) (s3,51) ES 

(b) y=y, 

如 果 存 在 的 话 ， 那 么 集合 8 就 被 称 为 模拟 关系 ， 其 建立 了 两 个 状态 机 中 状态 之 间 的 对 应 
关系 。 如 果 其 不 存在 ，M 就 不 模拟 Mz 


14.4.3 传递 性 


模拟 是 可 传递 的 (transitive )， 即 如 果 M, 模拟 M, H M, 模拟 M, ABA M, 也 就 模拟 M- 
具体 地 ， 如 果 给 定 模拟 关系 5S, ,ES States, x States, (M, 模拟 M, ) H. S33 S States, x States, (M, 
模拟 M; )， 那 么 就 有 如 下 关系 : 

S; = {(83, 51) E States, X States, | 存在 S, E States,, 
FH (S583) € S,. H (s.5,) € 8,1} 


GRIER 对 于 图 14-2 中 的 状态 机 ， 很 容易 证 明 M HUM, HM, 模拟 Mi。 具 体 而 
言 ， 具 有 如 下 模拟 关系 : 
S, p = {(a,ad), (b,be), (c,cf), (d,ad), (e,be), (f,cf)} 
以 及 
S, ¿= {(ad,ad), (be,bcef), (cf,bcef)} 
H Lae Re AM, 模拟 Mi， 该 模拟 关系 如 下 ， 其 进一步 支持 状态 名 的 提示 性 
S, c= {(a,ad), (b,bcef), (c,bcef), (d,ad), (e,bcef), (f,bcef)} 


选择 。 
14.4.4 ”模拟 关系 的 非 唯一 性 
且 在 它 的 两 个 状态 中 ， 其 有 两 种 不 同方 式 来 匹配 M, 的 移动 。 该 状态 机 可 以 从 这 些 可 能 的 方 


当 一 个 状态 机 M, 模拟 另 一 个 状态 机 M 时 ， 可 能 会 具有 多 个 模拟 关系 。 
式 中 任 选 一 个 来 匹配 移动 。 如 果 其 总 是 选择 从 状态 b 返 回 到 状态 a， 那么 该 模拟 关系 如 下 


GRRE 在 图 14-4 中 ， 很 容易 检查 Mi 是 否 模拟 Mi。 请 注意 ，hMi 是 非 确定 性 的 ， 
S, = {(ac,a), (bd,b)} 


否则 ， 如 果 其 总 是 从 状态 c 返回 状态 b， 那 么 模拟 关系 为 如 下 形式 : 
S>, ı = {(ac,a), (bd,b), (ac,c)} 


所 示 : 
S, 1= {(ac,a), (bd,b), (ac,c), (bd,d)} 


或 者 是 如 下 所 示 的 模拟 关系 : 
以 上 这 三 个 都 是 有 效 的 模拟 关系 ， 由 此 可 见 ， 模 拟 关系 并 不 是 唯一 的 。 
x/0 
xf 1 


证 明 
y) E L(M')。 
是 确定 性 的 ， 那么 将 只 有 一 条 执行 轨迹 ): 


输入 : x: pure 
输出 : y: {0,1} 
2/0 ayi x/0 
Mi PN x/0 xj 1 Mə 
a) b) 
图 14-4 ”模拟 关系 不 唯一 的 互相 模拟 的 两 个 状态 机 
14.45 ”模拟 与 语言 包含 的 对 比 
与 所 有 的 抽象 - 精 化 关系 一 样 ， 模 拟 通 常 被 用 于 将 一 个 较 简单 的 规格 Mi 与 一 个 更 为 复 
杂 的 实现 M, 联系 起 来 。 当 M BUS M, M 的 语言 就 包含 了 M, 的 语言 ， 但 这 个 保证 要 比 
语言 包含 更 强 。 下 面 的 定理 对 这 一 事实 进行 了 总 结 
令 Mi BAL M, IAA LM) S LM) 
该 定理 的 证 明 非 常 简单 。 对 于 一 个 行为 (x,y) E L(M,)， 我 们 仅 需要 证 明 (, 
令 模拟 关系 为 S$。 找 出 M, 中 所 有 可 能 导致 (x, y) 行 为 的 执行 轨迹 ， 形 式 如 下 (如果 M, 


(os so Yo), CS Œz S2 ¥2)57**) 
模拟 关系 确保 我 们 能 够 为 MI 找到 如 下 形式 的 一 个 执行 轨迹 ， 其 中 (ss sf) ES, AME 
给 定 输入 估 值 x 时 Ml 将 输出 yi。 
(Eo Sos Yo) 1s Si, Vi) Oa S2 y2),"**) 
HIE, (x,y) E L(M). 
a 


AED 对 于 日 14-2 中 的 例子 ，M, 没有 模拟 Ms。 为 了 理解 这 一 点 ， 仅 需要 说 明 状 
ALM, 的 语言 是 Ms 语言 的 一 个 严格 子 集 ， 即 L(M,) c L(M;)， 意 味 着 状态 机 Ms 具有 M, 所 
没有 的 一 些 行为 。 


理解 该 定理 阐明 了 什么 以 及 没有 述 及 什么 是 非常 重要 的 。 例如， 该 定理 并 没有 说 在 
L(M,) © L(M,) 时 ，M 就 模拟 了 AM。 实际 上 这 个 表述 不 成 立 ， 正 如 我 们 用 图 14-3 所 示 示 例 
已 经 证 明 过 的 : 这 两 个 状态 机 具有 相同 的 语言 ， 尽 管 它们 的 输入 、 输 出 行为 相同 ， 但 这 两 个 
状态 机 显然 是 不 同 的 。 

当然 ， 如 果 M, 和 M, 是 确定 性 的 且 Mi 模拟 M,， 那 么 它们 的 语言 完全 相同 且 M, 模拟 
Mi。 因此 ， 仅 对 于 非 确 定性 有 限 状态 机 而 言 ， 模 拟 关系 与 语言 包含 是 有 差异 的 。 


14.5 HRW 


可 能 存在 这 样 的 两 个 状态 机 M, 和 M, M 模拟 M, H. M, 模拟 M， 同 时 这 两 个 状态 机 仍 
然 是 明显 不 同 的 。 请 注意 ， 基 于 上 一 节 给 出 的 定理 ， 这 两 个 状态 机 的 语言 必须 完全 相同 。 


RE 考虑 图 14-5 中 的 两 个 状态 机 。 这 两 个 状态 机 互相 模拟 ， 其 模拟 关系 如 下 
所 示 。 


Sy = {(e,a), (f,b), (h,b), (j,b), (g,c), (i,d), (k,c), (m,d)} (M, 模拟 M, ) 
Si = {(a,e), (b,j), (c,k), (d,m)} (M, 模 拟 M, ) 


输入 : x: pure 输入 : x: pure 
输出 : y: {0,1} 输出 : y: {0,1} 
zy © 
oO 
MI x/0 (d) 
a) 





图 14-5 M, 模拟 M, H. M, 模拟 M 的 两 个 状态 机 
然而 ， 这 里 存在 两 个 状态 机 明显 不 同 的 情况 。 有 具体 而 言 ， 假 设 两 个 状态 机 进行 非 确定 性 


选择 的 策略 以 如 下 方式 运行 。 在 每 个 响应 中 ,它们 “ 抛 硬币 ”决定 哪个 状态 机 率先 移动 。 给 
定 一 个 输入 估 值 ， 选 定 的 状态 机 率先 做 出 移动 决定 ， 第 二 个 移动 的 状态 机 必须 匹配 它 所 有 可 





能 的 选择 。 在 这 种 情况 下 ， 两 个 状态 机 将 在 一 个 状态 机 不 再 能 够 匹配 另 一 个 状态 机 所 有 可 能 
移动 的 状态 中 结束 。 

其 体 而 言 ， 假 设 在 第 一 个 移动 中 M, 率先 移动 。 其 有 三 个 可 能 的 移动 ， 且 Mi 将 不 得 不 
匹配 这 三 个 移动 。 假 设 其 选择 了 移动 到 f 或 者 h。 在 下 一 轮 ， 如 果 Mi 率先 移动 ， 那 么 ，M， 
eh AY ee Ta 

请 注意 ， 这 个 观点 并 不 会 破坏 这 些 状 态 机 互相 模拟 的 观察 结果 。 如 果 在 每 一 轮 中 M, 总 
是 先 移 动 ， 那 么 Mi 将 总 是 能 够 匹配 M 的 每 一 个 移动 。 相 似 地 ， 如 果 在 每 一 alia 率先 移 
动 ， 那 么 M, 总 是 能 够 匹配 M 的 每 一 次 移动 (在 第 一 轮 中 总 是 选择 移动 到 j)。 这 个 显著 差异 
是 由 状态 机 交替 率先 移动 的 能 力 所 引起 的 。 


为 了 确保 两 个 状态 机 在 所 有 环境 下 都 确实 是 完全 相同 的 ， 我 们 就 需要 一 个 更 强 的 等 价 关 
系 ， 即 互 模拟 (bisimulation)。 如 果 我 们 能 够 继续 修改 的 匹配 游戏 ， 即 在 每 一 轮 任 何 一 个 状 
态 机 都 可 以 率先 移动 ， 那 么 ,我 们 就 说 Mi 与 M, 是 互 模拟 的 (或 者 说 Mi 互 模拟 M, )。 

如 同 14.4.2 节 所 述 ， 我 们 可 以 使 用 非 确定 性 有 限 状 态 机 的 形式 化 模型 来 定义 一 个 互 模拟 
关系 。 令 ， 

M, = {States,, Inputs, Outputs, possible Updates', initialState,} 
M, = {States,, Inputs, Outputs, possible Updates,, initialState,\ 

假设 这 两 个 状态 机 是 类 型 匹配 的 。 如 果 任 何 一 个 状态 机 都 是 确定 性 的 ,那么 它 的 
possibleUpdates 困 数 总 是 能 够 返回 一 Pah fists 个 元素 的 集合 。 如 果 M, 互 模拟 M,， 该 模拟 
关系 就 是 States, x States, 的 一 个 子 集 。 这 里 的 顺序 并 不 重要 ， 是 因为 如 果 M 互 模拟 M,， 就 
会 有 M, 互 模拟 Ml。 

我 们 说 Mi 互 模拟 M,， 则 如 果 有 一 个 子 集 Sc States, x States!/， 即 有 如 下 关系 : 

1 ) (initialState,,initialState,) E€ S 

2) WER (s,,5,) E S, 那么 Vx E Inputs H Vv(s!, y,) E possibleUpdates, (s5, x) 
那么 存在 (si, y) E possibleUpdates, (s, x)， 同 时 满足 以 下 关系 : 

(a) (s,s ES 

(b) =y, 

3) WER (s,, s1) E S, 那么 Yx E Inputs H. Y(s!, yi) E possibleUpdates, (s,, x) 
那么 存在 (s;, ¥2) E possibleUpdates, (s,, x)， 同 时 满足 以 下 关系 : 

(a) sf ES 

(b) y =) 

如 果 存 在 的 话 ， 集 合 5 就 被 称 为 互 模拟 关系 ， 其 建立 了 两 个 状态 机 状态 之 间 的 对 应 关 
系 。 如 果 其 不 存在 ，M 就 不 互 模拟 M, 


14.6 ”小结 


本 章 聚 焦 于 有 限 状态 机 的 三 个 逐渐 增强 的 抽象 - 精 化 关系 。 这 些 关系 使 得 设计 人 员 能 够 
确定 一 个 设计 在 何 时 可 以 安全 地 替代 另 一 个 ， 或 者 何 时 一 个 设计 可 以 正确 地 实现 一 个 规格 。 
第 一 个 关系 是 类 型 精 化 ， 其 只 考虑 了 输入 和 输出 端口 的 存在 以 及 它们 的 数据 类 型 。 第 二 个 关 
系 是 语言 精 化 ， 其 关注 输入 和 输出 估 值 的 序列 。 第 三 个 关系 是 模拟 ， 其 聚焦 于 状态 机 的 状态 
轨迹 。 在 所 有 的 三 种 情况 中 ， 我 们 都 提供 了 一 个 精 化 关系 和 一 个 等 价 关 系 。 最 强 的 等 价 关 系 
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是 互 模拟 ， 其 确保 两 个 非 确定 性 有 限 状态 机 是 不 可 区 分 的 。 
习题 


.在 图 14-6 中 有 四 个 参 元 对 。 对 于 每 个 参 元 对 ， 请 确定 是 否 有 : 
e A 和 8B 类 型 等 价 
o A 是 8 的 类 型 精 化 
o B A 的 类 型 精 化 
e 或 者 以 上 都 不 是 


一 


a) b) 
x: {0,1} x: {0,1} 
x: N y: pure x: N y: {0, 1} y: R 
A w:{0,1} w:{0,1} 
c) d) 


图 14-6 习题 1 中 探讨 类 型 精 化 关系 的 四 个 参 元 对 


N 


.在 “有 限 序 列 和 接受 状态 ”注解 栏 中 ， 给 定 的 状态 机 MM 接受 有 限 个 形式 为 (1)、(1,0,1)、 
(1,0,1,0,1 ) 等 的 输入 xo 
(a) 请 写 出 一 个 描述 这 些 输入 的 正则 表达 式 (可 以 忽略 发 生 阻 塞 的 响应 )。 
(b) 请 用 文字 描述 LM) 中 的 输出 序列 ， 并 给 出 这 些 输出 序列 的 正则 表达 式 (可 以 忽略 发 生 阻塞 的 
响应 )。 
(c) 请 创建 一 个 接受 (1)、( 1,0,1 )、( 1,0,1,0,1 ) 等 形式 的 输出 序列 的 状态 机 。 假 设 输入 x 是 纯 信 和 号， 
且 每 当 输入 是 存在 的 就 会 产生 一 个 存在 的 输出 。 如 果 存 在 确定 性 解决 方案 ， 请 给 出 该 方案 ， 或 
者 解释 为 什么 不 存在 确定 性 方案 的 原因 。 你 所 创建 的 状态 机 接受 什么 样 的 输入 序列 ? 
. 图 14-7 中 的 状态 机 具有 在 两 个 0 之 间 输 出 至 少 一 个 1 的 属性 。 构 建 一 个 具有 两 个 状态 的 非 确定 性 状 
态 机 ， 其 模拟 该 状态 机 并 保持 该 属性 。 请 给 出 其 模拟 关系 。 这 两 个 状态 机 是 互 模拟 的 吗 ? 


Ww 


w=1/1 


| 





x= 0/1 x=0/1 %= 0/1 
图 14-7 输出 中 两 个 0 之 间 至 少 有 一 个 1 的 状态 机 


4. 图 14-8 中 给 出 了 一 个 识别 输入 编码 的 有 限 状 态 机 。 图 14-9 中 的 状态 机 也 识别 相同 的 编码 ， 但 是 较 
图 14-8 具有 更 多 的 状态 。 请 通过 给 出 一 个 与 图 14-8 中 状态 机 的 互 模拟 关系 ,证 明 这 是 等 价 的 。 

5. 分 析 图 14-10 中 的 状态 机 。 请 找 出 一 个 只 有 两 个 状态 的 互 模拟 状态 机 ， 并 给 出 其 互 模拟 关系 。 

6. 假设 状态 机 4 有 一 个 输入 x 和 一 个 输出 y»， 两 者 的 类 型 都 为 {1,2}， 状 态 机 的 状态 包括 {a,b,c,d}, R 
此 之 外 没有 更 多 的 信息 。 是 否 有 足够 的 信息 来 构建 一 个 模拟 状态 机 4 的 状态 机 Be? 如 果 有 ， 请 给 出 
这 样 的 一 个 状态 机 及 其 模拟 关系 。 
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输入 : x: {0,1} 
输出 : recognize: pure 
0/ 1/ 17 











0 / recognize 


图 14-8 ”实现 编码 的 识别 器 状态 机 (其 在 每 一 个 输入 序列 1100 的 结尾 输出 recognize; 否则 输出 absent) 


输入 : x: {0,1} 
输出 : recognize: pure 
0/ 1/ 1/ 1/ 








0 / recognize 


图 14-9 一 个 实现 识别 图 14-8 中 相同 编码 的 识别 器 状态 机 (但 具有 更 多 状态 ) 


输入 : x: pure 
输出 : y: {0,1} 





图 14-10” 比 所 需 有 更 多 个 状态 的 状态 机 


7. 考虑 一 个 具有 纯 输入 x 且 输 出 了 的 类 型 为 {0,1} 的 状态 机 。 假 设 状态 机 包括 如 下 状态 ， 且 初始 状态 
为 a。 
States = {a, b, c, d, e, f } 
update 函数 由 下 表 给 出 〈 忽 略 发 生 卡 顿 的 )。 














(currentState, input) (nextState, output) 
(a, x) (b, 1) 
(b, x) (c, 0) 
(c, x) (d, 0) 
(d, x) (e, 1) 
(e, x) (f, 0) 


(f, x) (a, 0) 


(a) 请 绘制 该 状态 机 的 状态 转换 图 。 

(b) 忽略 发 生 卡 顿 的 情形 ， 请 给 出 该 状态 机 所 有 可 能 的 行为 。 

(c) 请 找 出 一 个 互 模拟 该 状态 机 的 三 个 状态 的 状态 机 。 请 画 出 该 状态 机 ， 并 给 出 互 模拟 关系 。 

8. 就 如 下 问题 ， 给 出 简要 的 回答 以 及 分 析 说 明 。 

(a) 判断 真 假 : 考虑 状态 机 4， 其 具有 一 个 输入 x 和 一 个 输出 y， 两 者 的 类 型 都 为 {1,2}， 同 时 具有 
两 个 标记 为 true/1 和 true/2 自 循环 的 单个 状态 s。 对 于 具有 完全 相同 输入 和 输出 (以 及 类 型 ) 的 
任何 状态 机 B, A 模拟 B。 

(b) 判断 真 假 : 假设 /是 对 状态 机 A 成 立 的 任意 线性 时 态 逻 辑 公 式 ， 且 4 模拟 另 一 个 状态 机 B， 那 
么 我 们 就 可 以 安全 地 断定 f 对 于 B 是 成 立 的 。 

(c) 判断 真 假 : 假设 4 和 B 是 两 个 类 型 等 价 的 状态 机 ， 且 f 是 一 个 线性 时 态 逻 辑 公 式 ， 其 原子 命题 
仅 涉及 状态 机 4 和 8 的 输入 与 输出 ， 而 不 是 它们 的 状态 。 如 果 该 线性 时 态 逻 辑 公 式 f 对 状态 机 
4 成立， 且 4 模拟 状态 机 B， 那 么 就 对 状态 机 B 成 立 。 
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可 达 性 分 析 与 模型 检验 





第 13 和 第 14 章 已 经 阐述 了 如 何 形式 化 地 表示 系统 的 模型 和 属性 ， 以 及 比较 这 些 模 型 
的 方法 与 技术 。 在 本 章 ， 我 们 将 学 习 用 于 形式 化 验证 ( 即 检查 一 个 系统 在 特定 的 运行 环境 
中 是 否 满足 其 形式 化 规格 的 问题 ) 的 算法 技术 。 上 有 具体 地 ， 我 们 将 学 习 称 为 模型 检验 ( model 
checking) 的 技术 。 模 型 检验 是 用 于 确定 系统 是 否 满 足 时 态 逻 辑 公 式 所 表示 的 形式 化 规格 的 
算法 型 方法 。 该 方法 由 两 位 美国 计算 机 科学 家 Clarke 和 Emerson (1981 ) 以 及 Queille 和 希 
腊 计算 机 科学 家 Sifakis 等 ( 1981 ) 提出 ， 其 中 三 位 科学 家 因 在 模型 检验 技术 领域 的 英 基 性 
工作 于 2007 年 获得 了 计算 机 科学 领域 的 最 高 末 誉 一 一 ACM 图 灵 奖 。 

模型 检验 的 核心 是 系统 可 达 状 态 集合 这 一 概念 。 可 达 性 分 析 (reachability analysis) 是 
计算 一 个 系统 可 达 状 态 集 合 的 过 程 。 本 章 主 要 阐述 可 达 性 分 析 以 及 模型 检验 中 的 基础 算法 和 
思想 。 这 些 算法 主要 由 组 入 式 系统 设计 中 的 一 些 示例 来 说 明 ， 包 括 对 高 级 模型 、 顺 序 及 并 发 
软件 以 及 控制 与 机 器 人 路 径 规划 等 的 验证 。 模 型 检验 是 一 个 广阔 且 活 跃 的 研究 领域 ， 相 关 更 
为 详细 的 讨论 超出 了 本 章 学 习 的 范围 。 为 了 便于 读者 在 本 领域 更 为 深入 地 开展 学 习 ， 这 里 我 
们 推荐 Clarke et al. (1999) 和 Holzmann ( 2004 )。 


15.1 开放 和 封闭 系统 


一 个 封闭 系统 ( closed system) 是 没有 输入 的 系 in out out 
统 。 相 反 地 ， 开 放 系 统 (open system) 则 是 通过 接收 
输入 和 (可 能 地 ) 生成 输出 与 其 所 处 环境 进行 持续 交 


互 的 系统 。 图 15-1 说 明了 相关 概念 。 ee eee 
用 于 形式 化 验证 的 技术 通常 被 应 用 于 封闭 系统 ARES, EE 


M 的 模型 ， 该 模型 可 由 构造 系统 S 的 模型 来 获得 ， 且 系统 5 的 模型 将 要 用 其 环境 EE 的 模型 
进行 验证 。S 和 EE 通常 为 开放 系统 ， 且 到 5S 的 所 有 输入 都 由 EE 产生 ,反之 亦 然 。 由 此 ， 如 图 
15-2 所 示 ， 对 于 验证 过 程 就 要 有 如 下 三 个 输入 : 
o 一 个 将 被 验证 的 系统 模型 ，5; 
o 一 个 环境 模型 ，E，; 
o 将 被 验证 的 属性 四。 
属性 中 


系统 5 





图 15-2 形式 化 验证 过 程 
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验证 器 生成 结果 为 YES/NO 的 输出 ， 以 说 明 5 在 环境 E 中 是 否 满足 属性 ©, HH, — 
个 输出 NO 伴 有 一 个 反例 ， 也 被 称 为 错误 轨迹 ， 是 说 明 © 如 何 被 违反 的 一 条 系统 轨迹 。 在 
调试 过 程 中 ， 反 例 是 非常 有 效 的 手段 。 有 些 形 式 化 验证 工具 还 在 输出 YES 时 提供 一 个 证 明 
或 者 正确 性 的 任 证 ,这样 的 一 个 输出 对 于 系统 正确 性 认证 (certification) 是 有 用 的 。 

系统 模型 S 与 环境 模型 E 的 组 合 形式 取决 于 系统 与 环境 的 交互 形式 。 第 5 一 6 章 给 出 了 
组 合 状态 机 模型 的 一 些 方法 。 所 有 这 些 组 合 形式 都 可 被 用 于 从 $ 和 互生 成 一 个 验证 模型 M。 
注意 ，M 可 能 是 非 确定 性 的 。 

为 了 简单 起 见 ， 本 章 我 们 将 假设 已 经 采用 第 5 ~ 6 章 中 的 某 个 技术 实现 了 系统 组 合 。 在 
以 下 内 容 中 讨论 的 所 有 算法 都 将 在 组 合 的 验证 模型 M 上 运行 ， 且 将 聚焦 其 对 M 是 否 满足 属 
性 ® 这 一 问题 的 回答 。 另 外 ， 我 们 还 假设 O 被 指定 为 线性 时 态 逻 辑 中 的 一 个 属性 。 


15.2 ”可 达 性 分 析 


首先 考虑 一 个 实际 中 有 用 的 模型 检验 问题 的 特定 情形 。 具 体 而 言 ， 假 设 M 是 一 个 有 限 
状态 机 且 ® 是 Gp 形式 的 一 个 线性 时 态 逻 辑 公式 ， 其 中 pp 是 一 个 命题 。 由 第 13 章 可 知 ，Gp 
是 时 态 逻 辑 公 式 ， 当 命题 p 对 一 个 轨迹 的 每 个 状态 都 成 立时 ，Gp 在 该 轨迹 中 成 立 。 如 我 们 
在 第 13 章 所 看 到 的 ， 很 多 系统 属性 都 可 以 表示 为 Gp 属性 。 

在 15.2.1 节 ， 我 们 首先 说 明 计算 系统 的 可 达 状 态 如 何 能 够 验证 一 个 Gp 属性 。 在 15.2.2 
节 ， 我 们 将 阐述 基于 显 式 状态 枚 举 的 一 种 有 限 状 态 机 可 达 性 分 析 技 术 。 最 后 ， 在 15.2.3 节 中 
我 们 将 讨论 分 析 具 有 超大 状态 空间 的 系统 的 男 一 种 可 选 方法 。 


15.2.1 Gp 验证 


为 了 让 一 个 系统 M 满足 Gp， 其 中 p 是 一 个 命题 ,那么 M 所 能 呈现 的 每 一 条 轨迹 就 都 
必须 满足 Gp。 通 过 枚 举 M 的 所 有 状态 并 检查 每 个 状态 是 否 满足 p， 就 可 以 验证 这 个 属性 。 

当 M 为 有 限 个 状态 时 ， 理 论 上 这 样 的 枚 举 通 常 是 可 行 的 。 如 第 3 章 所 述 ，M 的 状态 空 
间 可 以 被 看 作 一 个 有 向 图 ， 图 中 的 结 点 和 边 分 别 对 应 于 M 的 状态 和 迁移 。 这 个 图 被 称 作 M 
的 状态 图 ( state graph)， 所 有 状态 构成 的 集合 就 是 状态 机 的 状态 空间 。 从 图 论 的 角度 可 以 看 
出 ， 对 一 个 有 限 状 态 机 M 检验 其 Gp 就 对 应 于 相应 状态 图 的 遍历 ， 从 初始 状态 开始 并 检查 遍 
历 中 到 达 的 每 个 状态 是 否 满足 p。 由 于 M 具有 数量 有 限 的 状态 ， 这 个 遍历 必定 会 终止 。 


GIRLS 2 4A 8 就 是 图 3-10 中 的 交通 灯 控 制 器 且 其 环境 EE 是 图 3-11 所 示 的 行人 模 
型 。 令 MM 是 S 和 的 同步 组 合 ， 如 图 15-3 所 示 。 可 以 看 到 ，M 是 一 个 封闭 系统 。 假 设 我 们 
希望 验证 M 是 否 满足 如 下 属性 。 

G “(green A crossing) 
换言之 ， 就 是 要 验证 交通 灯 为 绿灯 上 且 行人 正在 通过 的 情形 是 否 永远 不 会 发 生 。 
构建 的 系统 M 如 图 15-4 所 示 ， 这 是 一 个 扩展 的 有 限 状 态 机 。 请 注意 ，M 没有 任何 输入 
或 者 输出 。M 共有 188 个 有 限 状 态 (使 用 类 似 于 示例 3.12 中 的 计算 方法 )。 图 15-4 中 的 图 并 
非 M 的 完整 状态 图 ， 因 为 每 个 结 点 都 代表 了 一 组 状态 ， 结 点 中 的 每 个 状态 都 有 一 个 不 同 的 
count 值 。 然 而 ， 通 过 直观 地 审视 这 个 图 ， 我 们 就 可 以 自己 检验 满足 命题 (green A crossing) 
的 状态 不 存在 ， 从 而 每 个 轨迹 都 满足 线性 时 态 逻 辑 属 性 G-(green A crossing). 


变量 : count: {0,…… ,60} 


变量 : count: {0,--- ,60} 
输入 : pedestrian: pure 
输出 : sigR, sigG, sigY : pure 











输入 : sigR, sigG, sigY : pure 
输出 : pedestrian : pure 
true / 






count < 60 / 
count := count + | 







true / pedestrian 


count > 60 / sigG 
count := 0 


pedestrian ^ count < 60 / 





count := count + | 













count := 0 


crossing 





Count > 60 / sigY 
count >5 / sigR count := 0 


count :一 0 > 


count := count + 1 





图 15-3 ”交通 灯 控 制 器 模型 (图 3-10) 与 行人 模型 (图 3-11 ) MAS 


变量 : count: {0,… ,60} count < 60 / 
count := count + | 






count < 60 / 


count => 60 
/ count := count + 1 


count :一 0 
count := count+l1 __ 


pending, waiting $ 


count := count + 1 






count :一 0 
count > 5 / 
count :一 0 





count > 60 / count := 0 


yellow, waiting 


count := count + | 


图 15-4 由 交通 灯 控 制 器 和 行人 模型 的 同步 响应 组 合 所 得 到 的 扩展 状态 机 


在 实际 中 ， 验 证 有 限 状 态 机 M 是 否 满足 Gp 属性 这 一 看 似 简单 的 任务 并 非 真 的 如 上 例 那 
样 简单 ， 这 是 由 如 下 原因 导致 的 。 
。 通常 ， 其 开始 时 仅 有 初始 状态 和 迁移 函数 ， 而 且 状 态 图 必须 在 运行 中 构建 。 
© 系统 可 能 有 极 大 数量 的 状态 ，M 的 语法 描述 数量 可 能 是 指数 级 的 ， 因 此 不 能 用 传统 
的 数据 结构 ， 如 邻接 矩阵 或 关联 矩阵 来 表示 该 状态 图 。 
为 此 ， 以 下 两 小 节 重 点 讨论 如 何 来 应 对 这 些 挑战 。 


15.2.2 ” 显 式 状 态 模型 检验 


本 节 讨 论 如 何 通 过 在 过 程 中 生成 和 遍历 状态 图 来 计算 可 达 状 态 集 。 
首先 ， 基 于 前 文 所 关注 的 系统 M 是 封闭 的 、 有 限 状态 的 ， 且 可 能 是 非 确定 性 的 。 由 于 
M 没 有 输入 ， 其 下 一 组 可 能 状态 的 集合 仅 是 其 当前 状态 的 一 个 函数 。 我 们 用 M 的 当前 状态 
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函数 6 来 表示 M 的 迁移 关系 ， 而 不 是 用 第 3 章 中 引入 的 possibleUpdates AMX, 虽然 其 也 是 
当前 输入 的 函数 。 由 此 ，6(s) 是 M 状态 机 s 状态 的 下 一 组 可 能 状态 的 集合 。 

算法 15.1 计算 了 初始 状态 为 % 且 迁移 关系 为 6 时 M 的 可 达 状 态 集 合 。 函 数 DFS _ 
Search 从 状态 so 开始 执行 对 M 的 状态 图 的 深度 优先 遍历 。 在 遍历 过 程 中 ,重复 地 将 5 应 用 
到 正在 访问 的 状态 就 可 以 在 此 过 程 中 生成 一 个 图 。 


ERD 通过 深度 优先 的 显 式 状态 搜索 来 计算 可 达 状 态 集 


输入 : 封闭 有 限 状态 系统 M 的 初始 状 
Aso 以 及 迁移 关系 6 
输出 : M 的 可 达 状 态 的 集合 尽 
1 初始 化 : 栈 马 包含 单个 状态 so ; 当前 
到 达 的 状态 集合 为 R := {so}. 
2 DFS Search() { 
3 while #2 E 4 4% do 








4 将 马 的 栈 顶 状态 s 弹 栈 

5 计算 从 状态 s 一 次 迁移 可 达 状 态 的 
集合 6(s) 

6 for 每 一 个 s'€ 6(s)do 

7 if s’ ¢ R then 

8 R:= RU {s'} 

9 HEARE 

10 end 

i end 

12 end 


本 算法 所 需要 的 主要 数据 结构 是 栈 ， 其 存储 了 状态 图 中 从 so 开始 的 当前 路 径 ， 男 
一 个 是 遍历 中 已 到 达 状 态 的 当前 集合 R。 因 为 M 是 有 限 状 态 的 ， 在 某 个 点 由 so 可 达 的 状态 
都 将 在 RR 中， 这 表示 没有 新 的 状态 将 被 压 和 人 栈 ,而 且 因 此 3 将 变 为 空 。 因 此 ，DFS _ 
Search 函数 结束 时 ， 该 函数 最 后 的 及 值 就 是 M 所 有 可 达 状 态 的 集合 

该 算法 的 时 间 、 空 间 需 求 与 状态 图 大 小 呈 线 性 关系 (附录 介绍 了 该 玄 类 复杂 性 概念 )。 
然而 ，M 的 状态 图 中 结 点 和 边 的 数量 可 能 是 $S 和 的 描述 的 指数 量 级 。 例 如 ， 如 果 S 和 E 
一 共有 100 个 布尔 状态 变量 (实际 中 是 很 小 的 ! )， 那 么 M 的 状态 图 可 能 会 有 2” 个 状态 ， 
其 远 远 超过 当代 计算 机 的 主 存 容量 。 因 此 ， 必 须 采 用 状态 压缩 (state compression) 技术 来 对 
诸如 DFS_Search 等 显 式 状态 搜索 算法 进行 增强 。“ 延 伸 探 讨 : 模型 检验 的 实践 ”注解 栏 中 
对 此 类 技术 进行 了 部 分 概述 。 

并 发 系统 模型 检验 的 一 个 挑战 是 状态 爆炸 问题 ( state-explosion problem)。 回 顾 大 个 有 
限 状 态 系 统 M1/，M,，…，M 组合 之 后 的 状态 空间 (假设 使 用 了 同步 组 合 ) 是 M,, M, 
M, 的 状态 空间 的 俏 卡 儿 乘积 . 换 名 话说， 如 果 M,, M,, +, MHA n, m, 0, ne 
状态 ,它们 的 组 合 就 可 能 有 [个 状态 。 很 容易 看 出 ， 这 个 组 件 的 并 发 组 合 具有 随 
值 指数 增长 的 状态 数量 。 这 明确 地 表示 ， 组 合 系统 的 状态 空间 并 不 会 发 生 比 例 变 化 。 在 下 一 
节 ， 我们 将 给 出 可 以 在 某 些 情 形 下 缓和 该 问题 的 一 些 技术 。 


15.2.3 ”符号 化 模型 检验 


符号 化 模型 检验 ( symbolic model checking) 的 关键 思想 是 将 符号 化 的 状态 集 表 示 成 一 
个 命题 逻辑 公式 ， 而 不 是 显 式 地 表示 为 一 组 独立 状态 的 集合 。 通 常 使 用 特定 的 数据 结构 来 表 
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示 和 操作 这 些 公式 。 因 此 ， 不 同 于 直接 操作 每 个 单独 状态 的 显 式 状态 模型 检验 ， 符 号 化 模型 
检验 操作 的 是 这 些 状 态 的 集合 。 

算法 15.2 (Symbolic Search) 是 一 个 用 于 计算 封 轩 有限 状 态 系统 M 的 可 达 状 态 集合 
的 符号 化 算法 。 该 算法 具有 与 上 述 显 式 状态 算法 DFS_Search 相同 的 输入 -输出 规格 ， 但 
Symbolic_Search 中 的 所 有 操作 都 是 集合 操作 。 


《EBP 通过 符号 化 搜索 来 计算 可 达 状 态 集合 
输入 : 符号 化 表示 的 封 半 有限 状态 系统 M 
的 初始 状态 50 以 及 迁移 关系 6 
输出 : 符号 化 表示 的 M 的 可 达 状 态 集合 尺 

1 初始 化 : 当前 已 达 的 状态 集合 RR= {so} 

2 Symbolic Search() { 

3 Rigg = 

4 while Rew Æ Ô do 

5 Rew = {s' | ds € Rs.t. s’ € 5(s) A s' ¢ R} 
6 R =RU Rew 

7 end 


8 } 

在 Symbolic_Search 算法 中 ,，R 代表 在 该 搜索 中 任意 点 上 所 到 达 过 的 状态 的 集合 ，R,。 
代表 在 该 点 上 新 产生 的 状态 。 当 不 再 产生 新 的 状态 时 算法 结束 ，R 中 存储 从 so 开始 的 所 有 可 
达 状 态 。 算 法 的 关键 是 在 第 5 行 ， 其 中 Ren 是 求 得 的 所 有 状态 s' 的 集合 ; s' 是 在 迁移 关系 ô 
的 一 步 中 ，R 中 任何 状态 s 可 到 达 的 状态 。 这 个 操作 被 称 作 镜像 计算 (image computation), 
因为 其 包括 了 计算 函数 5 的 镜像 。 直 接 操作 命题 逻辑 公式 的 有 效 镜像 计算 实现 是 符号 化 可 达 
性 算法 的 核心 。 除 镜像 计算 之 外 ，Symbolic_Search 算法 中 的 关键 集合 操作 还 包括 集合 的 
并 以 及 对 空 集 的 检查 。 


GRD 我 们 将 使 用 图 15-4 中 的 有 限 状态 机 来 说 明 符号 化 可 达 性 分 析 。 
开始 之 前 ， 我 们 需要 引入 一 些 符 号 。 令 v) 变量 表示 交通 灯 控 制 器 有 限 状 态 机 S 中 每 个 响 
应 开始 时 的 状态 ; 也 就 是 说 ，V E {green,yellow,red,pending}。 类 似 地 ， 令 v, 表示 行人 状态 
HLE WAKA, v, E {crossing,none,waiting}。 
组 合 系统 M 的 初始 状态 集 {so} 被 表示 为 如 下 命题 逻辑 公式 。 
vred 人 v,=crossing 人 count=0 
在 如 图 15-4 所 示 的 扩展 有 限 状态 机 中 ， 从 so 唯一 使 能 的 引出 迁移 是 初始 状态 上 的 自 循 
环 。 因 此 ,在 一 个 可 达 性 计算 步骤 之 后 ， 已 到 达 的 状态 的 集合 R 可 以 由 下 式 表示 。 
v=red A v,=crossing A 0 < count < 1 
在 两 步 之 后 ， 集 合 尺 可 由 下 式 给 出 。 
V=red 人 v,=crossing A 0 < count < 2 
大 步 之 后 (kS 60)， 集 合 尺 可 由 如 下 公式 表示 。 
vi=red 人 v,=crossing 人 0 < count < k 
在 第 61 步 会 退出 状态 (red，crossing)， 且 可 以 用 下 式 计 算 R。 
vi=red 人 v,=crossing 人 0 < count < 60 
V vegreen A v=none A count=0 
继续 类 似 的 运行 ， 可 达 状 态 集 尺 会 不 断 增长 ， 直 到 其 不 再 发 生变 化 。 最 终 的 可 达 状 态 集 
可 表示 为 如 下 形式 。 
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veted 人 v,=crossing A 0 < count < 60 
V vegreen 人 v=none A 0 < count < 60 
V vepending 人 v,=waiting 人 0 < count < 60 


V veyellow A v,=waiting A 0 < count < 5 


实际 上 ， 符 号 化 表示 比 显 式 表示 更 加 精炼 。 上 例 就 很 好 地 说 明了 这 一 点 ， 其 中 ， 一 组 状 
态 被 精简 地 表示 为 不 等 式 关 系 ， 如 0 < count 受 60。 从 而 ， 可 以 设计 在 符号 表示 上 直接 运行 
的 计算 机 程序 。 该 类 程序 的 部 分 例子 将 在 后 面 进行 讨论 。 

符号 化 模型 检验 已 经 被 成 功 地 运用 于 处 理 很 多 种 类 系统 的 状态 爆炸 问题 ， 最 显著 的 是 硬 
件 模型 。 然 而 ， 在 最 坏 情 况 下 ， 即 使 符号 化 集合 表示 也 可 能 导致 系统 变量 的 数量 以 指数 进行 
增长 。 


15.3 ”模型 检验 中 的 抽象 


模型 检验 中 的 一 个 挑战 是 用 最 简单 的 系统 抽象 开展 工作 ， 其 将 提供 所 需 的 安全 性 证 明 。 
越 简 单 的 模型 拥有 越 小 的 状态 空间 ， 也 就 可 以 被 更 为 有 效 地 检查 。 当 然 ， 要 面 对 的 挑战 是 必 
须 清楚 哪些 细节 是 可 以 从 抽象 中 省 略 的 。 

系统 中 要 被 抽象 的 部 分 依赖 于 需要 被 验证 的 属性 ， 以 下 示例 就 说 明了 这 一 点 。 


AD 考虑 图 15-4 中 的 交通 灯 系 统 M。 假 设 与 示例 15.1 一 样 ， 我 们 希望 验证 M 

是 否 满 足 如 下 属性 。 
G~(green A crossing) 

假设 我 们 通过 隐藏 模型 对 count 的 所 有 引用 (包括 所 有 涉及 它 的 监督 条 件 以 及 所 有 对 它 
HEH) AMM 中 抽象 出 一 个 变量 count。 由 此 ， 可 得 到 图 15-5 所 示 的 抽象 模型 Mayo 

显然 ， 这 个 抽象 Ma 呈现 出 比 M 更 多 的 行为 。 例 如 ， 对 于 状态 (yellow, waiting), R 
们 可 以 一 直 采 取 自 循环 迁移 ， 且 永久 地 处 于 该 状态 。 然 而 在 实际 系统 M 中 ， 必 须 在 5 个 时 
钟 节拍 内 退出 该 状态 。 另 外 ，M 的 每 个 行为 都 可 以 被 My, 进行 星 现 。 

有 意思 的 是 ， 即 使 具有 这 个 近似 ， 我 们 也 可 以 证 明 Ms 满足 G-(green A crossing), EP 
count 的 值 与 该 属性 是 不 相关 的 。 

请 注意 ， 虽 然 M 共 有 188 个 状态 ， 但 Miss 仅 有 4 个 。 由 于 要 分 析 的 状态 非常 少 ， 因 此 
Movs 的 可 达 性 分 析 也 要 比 M 容易 得 多 。 





true/ 


i red, crossing 








pending, waiting ) 


yellow, waiting 


true / 


图 15-5 图 15-4 中 所 示 交 通 灯 系统 的 抽象 


有 很 多 方法 可 用 于 求 得 一 个 抽象 。 在 这 些 简单 且 极 为 有 用 的 方法 中 ， 有 一 个 称 为 定位 归 
约 (localization reduction) 或 定位 抽象 (localization abstraction) 的 方法 (Kurshan，1994 ) 。 
在 定位 归 约 中 ,通常 以 隐藏 状态 变量 子 集 的 方式 把 设计 模型 中 与 待 检验 属性 无 关 的 部 分 提取 
出 来 。 隐 藏 一 个 变量 意味 着 该 变量 可 以 任意 地 演化 。 这 也 是 上 述 示例 15.3 中 使 用 的 抽象 形 
式 ， 基 中 人 允许 count 任意 地 改变 ， 且 所 有 迁移 都 与 count 的 值 无 关 。 


< 考虑 如 下 所 示 的 多 线程 程序 (Ball et al., 2001). & & lock_unlock 执行 一 
个 获取 锁 的 循环 ， 之 后 调用 函数 randomCall 并 根据 其 值 来 释放 锁 或 者 执行 另 一 个 循环 迭代 ， 
Reiki aH GE RK), MAB RE new 的 值 确保 另 一 个 循环 迭代 的 执行 ， 从 而 ， 
条 件 old!=new 的 估 值 为 真 。 


pthread_mutex_t lock = PTHREAD_MUTEX_INITIALIZER; 
unsigned int old, new; 


void lock_unlock() { 
do { 
pthread_mutex_lock (&lock) ; 
old = new; 
if (randomCall()) { 
pthread_mutex_unlock (&lock) ; 


Cnrnmidtinws wn | 


10 newt++; 

11 } 

12 } while (old != new) 

13 pthread_mutex_unlock (&lock) ; 


4} 

假设 我 们 想 要 验证 的 属性 是 “不 会 尝试 连续 两 次 调用 函数 pthread mutex_lock”。 回 顾 
11.2.4 节 ， 如 果 线 程 在 尝试 获取 锁 时 被 永久 地 阻塞 ， 系 统 可 能 会 发 生死 锁 。 在 上 例 中 ， 如 果 
已 经 持 有 了 锁 lock 的 线程 再 次 尝试 获取 该 锁 时 ， 就 可 能 发 生 这 种 情况 。 

如 果 我 们 不 采用 任何 抽象 而 对 该 程序 进行 精确 建 模 ， 那 么 ， 除 了 程序 的 剩余 状态 之 外 ， 
我 们 还 需要 对 变量 old 和 new 的 所 有 可 能 取 值 都 进行 推理 。 假 设 该 系统 中 的 字 长 是 32 位 ， 
那么 状态 空间 的 规模 大 约 就 是 2”x2”xn， 其 中 2” 是 old 和 new 的 取 值 的 数量 , 妹 表 示 剩 
余 状态 空间 的 规模 。 

然而 ， 没 有 必要 对 变量 old 和 new 的 精确 取 值 进行 推理 以 证 明 程 序 是 正确 的 。 例 如 ， 假 
设 编程 语言 具有 boolean 类 型 ， 且 程序 可 以 执行 非 确定 性 作业 ， 那 么 就 可 以 得 到 原 有 程序 的 
如 下 抽象 ， 以 类 似 C 的 语法 ， 且 用 布尔 变量 b 代表 谓词 old==new。 





pthread_mutex_t lock = PTHREAD_MUTEX_INITIALIZER; 


1 
2 boolean b; // b represents the predicate (old == new) 
3 void lock_unlock() { 

4 do { 

5 pthread_mutex_lock (&lock) ; 

6 b = true; 

7 if (randomCall()) { 

8 pthread_mutex_unlock (&lock) ; 

9 b = false; 

10 } 

11 } while (!b) 

12 pthread_mutex_unlock (&lock); 


13 } 
容易 看 出 ， 这 个 抽象 只 保留 了 必要 的 信息 来 证 明 程 序 满足 期 望 的 属性 。 有 具体 而 言 ， 这 个 
锁 不 会 被 获取 两 次 ， 因 为 该 循环 仅 在 b 被 置 为 假 时 才 会 继续 重复 ， 这 隐 含 地 说 明 该 锁 在 下 次 
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尝试 获取 前 就 已 被 释放 。 
另外 可 以 观察 到 ， 待 搜索 状态 空间 的 规模 已 经 减少 到 仅 为 2n。 显 然 ， 这 就 是 使 用 “ 正 
确 ” 抽 象 的 有 益 之 处 。 


形式 化 验证 面临 的 主要 挑战 是 自动 地 计算 简化 的 抽象 。 一 个 有 效 且 被 广泛 运用 的 技术 是 
由 Clarke 等 (2000 ) 最 先 提出 的 反例 引导 的 抽象 精 化 ( CounterExample-Guided Abstraction 
Refinement，CEGAR)， 其 基本 思想 ( 当 使 用 定位 归 约 时 ) 是 以 隐藏 除 时 态 逻 辑 属性 所 引用 
变量 之 外 的 几乎 所 有 状态 变量 为 开始 。 该 方法 得 到 的 抽象 系统 将 较 原 有 系统 具有 更 多 的 行 
为 。 因 此 ， 如 果 该 抽象 系统 满足 一 个 线性 时 态 逻 辑 公 式 中 〈 即 其 每 一 个 行为 都 满足 @), FB 
么 原 有 系统 也 会 满足 。 然 而 ， 如 果 抽 象 系统 不 满足 中 ， 模 型 检验 器 会 生成 一 个 反例 。 如 果 
这 个 反例 对 于 原 有 系统 是 一 个 反例 ， 这 个 过 程 就 会 结束 ， 表 示 已 经 找到 了 一 个 真实 的 反例 。 
否则 ，CEGAR 方法 会 分 析 这 个 反例 以 推断 哪些 隐藏 的 变量 必须 不 再 是 隐藏 的 ， 同 时 用 这 些 
新 引入 的 变量 来 重新 计算 一 个 抽象 。 该 过 程 持续 进行 ， 要 么 以 某 个 抽象 系统 被 证 明正 确 为 结 
束 ， 要 么 为 原 有 系统 产生 一 个 有 效 的 反例 结束 。 

CEGAR 方法 及 后 续 的 一 些 思想 一 直 有 助 于 推动 软件 模型 检验 领域 的 发 展 。 我 们 在 本 章 
后 面 的 注解 栏 中 简 述 了 其 部 分 关键 思想 。 


15.4 ”模型 检验 活性 属性 


迄今 为 止 , 我 们 只 是 限定 于 验证 Gp 形式 的 属性 ， 其 中 p 是 一 个 原子 命题 。 认 为 Gp 对 
所 有 轨迹 都 成 立 是 一 类 非常 受 限 的 安全 属性 。 然 而 ， 如 我 们 在 第 13 章 所 见 的 ,一 些 有 用 的 
系统 属性 并 非 安 全 属性 。 例 如 ， 描 述 “ 机 器 人 必须 访问 位 置 A” 的 属性 就 是 一 个 活性 属性 : 
如 果 命 题 g 代表 访问 位 置 A， 那 么 该 属性 就 会 断定 Fg 必须 对 所 有 轨迹 都 成 立 。 实 际 上 ， 包 
括 机 器 人 路 径 规划 问题 、 分 布 式 并 发 系统 的 演进 特性 等 在 内 的 很 多 问题 都 可 以 被 描述 为 活性 
属性 。 因 此 ， 扩 展 模型 检验 方法 来 处 理 该 类 属性 就 是 有 用 的 。 

虽然 Fp 形式 的 属性 是 活性 属性 ， 仍 可 以 用 前 面 内 容 中 讨论 的 技术 来 部 分 地 进行 检验 。 
回顾 第 13 章 ，Fp 对 一 条 轨迹 成 立 ， 当 且 仅 当 -G-pP 也 对 该 轨迹 成 立 。 也 就 是 说 ,“p 在 未 
来 某 些 时 间 为 真 ”iff9“ -p 总 是 为 假 ”"。 因 此 ， 我 们 可 以 尝试 验证 该 系统 满足 Gpo WRR 
证 器 确认 Gop 对 于 所 有 轨迹 都 成 立 ， 我 们 就 知道 Fp 对 任何 轨迹 都 不 成 立 。 反 之 ， 如 果 验 证 
器 输出 “NO ”， 伴 随 输出 的 反例 就 会 提供 一 个 说 明 疡 如 何 会 最 终 变 为 真 的 证 据 。 这 个 证 据 提 
供 了 Fp 成 立 的 一 个 轨迹 ， 但 是 它 并 不 证 明 Fp 对 所 有 轨迹 都 成 立 (除非 状态 机 是 确定 性 的 )。 

更 完整 的 检验 和 更 为 复杂 的 活性 属性 都 需要 采用 更 复杂 的 方法 。 简 要 地 ， 一 个 用 于 线性 
时 态 逻 辑 属性 的 显 式 状态 模型 检验 方法 可 表述 如 下 : 

1 ) 将 属性 ® 的 否定 描述 为 一 个 自动 机 B， 其 中 某 些 状态 被 标记 为 接受 状态 。 

2) 构建 属性 自动 机 B 和 系统 自动 机 M 的 同步 组 合 ; 属性 自动 机 的 接受 状态 引发 乘积 自 
动机 Ms 的 接受 状态 。 

3) 如 果 乘 积 自动 机 Ms 可 以 经 常 无 限 地 访问 一 个 接受 状态 那么， 这 表示 M 不 满足 
p; 否则 MWE D. 


O iffÆifand only if ( 当 且 仅 当 ) 的 缩写 符号 ,通常 认为 是 匈牙利 背 美 国 数学 家 Paul Halmos 发 明 并 最 先 在 数学 
领域 使 用 。 另 外 ，Paul Halmos 还 最 早 使 用 符号 “ 国 ” 取 代 传 统 的 QED (拉丁 语 Quod Erat Demonstrandum, 
意 为 “这 就 是 所 要 证 明 的 ”) 来 表示 证 明 完 毕 ， 故 有 时 也 称 为 哈 尔 莫 斯 符 。 译 者 注 
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上 述 方法 就 是 验证 的 自动 机 理论 方法 ， 下 面 我 们 对 相关 内 容 进 行 简要 阐述 。 要 想 了 解 
更 多 的 细节 ， 可 以 参考 与 本 主题 相关 的 开创 性 论文 ( Wolper et al.( 1983 ) ; Vardi and Wolper 
(1986 ))， 以 及 关于 SPIN 模型 检验 器 的 资料 (Holzmann，2004 ) 。 


15.4.1 将 属性 作为 自动 机 


我 们 来 看 把 一 组 属性 看 作 一 个 自动 机 的 第 一 步 。 首 先 回顾 前 面 注 解 栏 中 介绍 的 Omega 
正则 语言 ， 其 所 简要 介绍 的 Biichi 自动 机 和 Omega 正则 语言 的 理论 与 模型 检验 活性 属性 相 
关 。 大 臻 上， 一 个 线性 时 态 逻 辑 属性 D 与 满足 © 的 一 个 行为 集合 是 一 一 对 应 的 。 这 个 行为 
集合 构成 了 对 应 于 @ 的 Biichi 自动 机 的 语言 。 

对 于 这 里 讨论 的 线性 时 态 逻 辑 模型 检验 方法 ， 如 果 四 是 系统 必须 满足 的 属性 ， 那 么 我 
们 将 其 否定 -四 表示 为 一 个 Biichi 自动 机 。 以 下 给 出 几 个 说 明 性 示例 。 


CRIED 假设 有 限 状 态 机 M, 建 模 7 了 一 个 系统 ， 该 系统 无 限 执行 且 输 出 一 个 纯 信号 有 h 
(作为 心跳 )， 且 每 隔 三 个 响应 时 至 少 输 出 一 次 。 也 就 是 说 ， 如 果 在 连续 的 两 个 响应 中 系统 都 
没有 输出 疙 ， 那 么 在 第 三 个 响应 中 就 一 定 会 输出 。 

我 们 可 以 利用 线性 时 态 逻 辑 将 该 属性 形式 化 为 如 下 ©, 属性 。 

G(h V Xh V X? h) 
该 属性 的 否定 形式 如 下 。 
F(-h A X-h A Xh) 
那么 ， 就 可 以 给 出 对 应 于 该 期 望 属性 的 否定 的 Biichi 自动 机 已， 如 下 -。 


输入 : h: pure h/ 
输出 : f: pur 





h/ 


我 们 来 检查 一 下 该 自动 机 。 该 自动 机 接受 的 语言 包括 所 有 进入 并 停留 在 状态 d 的 行为 。 
等 价 地 ， 该 语言 包括 了 在 某 个 响应 中 能 够 在 上 输出 present 的 所 有 行为 。 当 在 使 用 MI RA 
造 上 述 状态 机 时 ， 如 果 生 成 的 组 合 状态 机 永远 不 能 输出 . 广 present， 那 么 ， 可 被 组 合 状态 机 接 
受 的 语言 就 为 空 。 如 果 能 够 证 明 其 语言 为 空 ， 就 已 经 证 明了 M 在 连续 的 三 个 响应 中 会 输出 
至 少 一 个 心跳 ho 


可 以 看 出 上 例 中 的 中 , 属性 实际 上 是 一 个 安全 性 属性 ， 以 下 再 给 出 一 个 活性 属性 的 示例 。 


GED 假设 有 限 状 态 机 NM; 要 为 必须 定位 一 个 房间 且 一 直 停留 在 那里 的 机 器 人 建 模 
一 个 控制 器 。 令 尸 是 机 器 人 进入 目标 房间 时 为 真 的 命题 ， 那 么 ， 期 望 的 属性 ©, 可 以 在 线性 
时 态 逻 辑 中 表示 为 FGp。 

该 属性 的 否定 是 GF-p。 如 下 给 出 对 应 于 该 逆 否 属性 的 Biichi 自动 机 B,。 


输入 : p: pure true/ 
ap / 
Gare 


true / 


© 
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HEE, B, 的 所 有 接受 行为 对 应 于 一 p 无 限 经 常 成 立 这 一 属性 。 对 于 B 的 b 状 态 被 反 
复 访问 的 乘积 自动 机 ,这些 行为 对 应 了 状态 图 中 的 一 个 环 路 。 这 个 环 路 就 是 一 个 接受 环 路 


(acceptance cycle). 


GFp 形式 的 活性 属性 也 是 作为 规格 自然 地 出 现 的 。 属 性 的 这 种 形式 在 表述 公平 性 
(fairness) 属性 (其 断定 某 些 期 望 的 属性 无 限 次 成 立 ) 时 非常 有 用 ， 如 下 结合 示例 进行 说 明 。 


考虑 一 个 像 示 例 3.10 那样 的 交通 灯 系 统 。 我 们 可 能 希望 确定 交通 灯 在 任何 
执行 中 都 无 限 多 次 地 变 为 green (绿灯 )， 换 名 话说 ，green 状态 被 无 限 经 常 访 问 ， 其 可 被 表 
示 为 中 ;=GF green. 
对 应 于 四; 的 自动 机 与 上 述 示 例 15.6 中 o, 的 否定 相同 ， 其 中 用 green 替代 了 -PP。 然 
而 ， 在 本 例 中 该 自动 机 的 接受 行为 就 是 所 期 望 的 行为 。 


从 这 些 示 例 可 以 看 出 ， 检 测 有 限 状 态 机 中 一 个 特定 接受 状态 s 是 否 可 以 被 无 限 经 常 访问 


的 问题 ， 通 常 是 对 线性 时 态 逻 辑 属性 进行 显 式 状态 模型 检验 的 重点 。 接 下 来 ， 我们 将 就 其 给 
出 一 个 算法 。 
15.4.2 ”寻找 接受 环 路 

接 下 来 考虑 如 下 问题 : 


给 定 一 个 有 限 状 态 机 M，M 的 一 个 接受 状态 s, 能 否 被 无 限 经 常 地 访问 ? 

换 句 话说 ， 我 们 要 寻找 一 个 算法 来 检测 : (i) 从 M 的 初始 状态 so 起， 状态 s, 是 否 可 达 ， 
VAR (ii) RE s 从 其 自身 是 否 可 达 。 请 注意 ， 询 问 一 个 状态 是 否 能 够 被 无 限 经 常 地 访问 不 
等 同 于 询问 其 是 否 必须 被 无 限 经 常 地 访问 。 

就 像 15.2.1 节 讨 论 Gp 的 情况 一 样 ， 图 论 的 视角 对 本 问题 是 非常 有 用 的 。 为 了 便于 论 
证 ， 假 设 我 们 已 经 提前 建立 了 整个 状态 图 。 那 么 ， 检 测 状 态 sa 是 否 从 so 可 达 的 问题 就 简单 
地 变 为 图 的 遍历 问题 ， 如 可 以 用 深度 优先 搜索 ( DFS) 来 解决 。 进 而 ,检查 s, 从 其 自身 是 否 
可 达 的 问题 就 相当 于 检测 在 状态 图 中 是 否 存 在 一 个 包含 该 状态 的 环 路 。 

解决 该 问题 最 主要 的 挑战 与 15.2.1 节 中 所 讨论 的 那些 非常 相似 : 必须 在 运行 过 程 中 进行 
搜索 ， 且 必须 应 对 大 的 状态 空间 。 

在 SPIN 模型 检验 器 (Holzmann，2004 ) 中 实现 的 藤 套 深度 优先 搜索 OKE DFS) 算法 
解决 了 这 个 问题 ， 其 逻辑 如 算法 15.3 所 示 。 该 算法 以 调用 参数 为 1 的 Nested_DFS_Search 
函数 开始 ， 如 底部 的 Main 函数 所 示 。 将 原 有 封闭 系统 M 与 代表 线性 时 态 逻 辑 公式 O 的 和 否 
定 的 自动 机 B 进行 合成 得 到 了 Ms。 


ERD 业 在 的 深度 优先 搜索 算法 
输入 : 自动 机 MB 的 初始 状态 50 以 及 迁移 关系 6; Me 的 目标 
接受 状态 sa 

输出 : 如 果 存 在 ， 输 出 包含 sa 的 接受 环 路 

1 初始 化 : (i) RU 包含 单个 状态 so, HR DAZ; (ii) 两 个 
已 到 达 状 态 集合 R := Ro := {so}; (i 设置 标志 found:=false. 

2 Nested DFS Search(Mode mode) { 

3 while 栈 Ernoge FW Z do 
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4 弹出 Znoae 的 栈 顶 状态 $ 

5 if (s = sa F mode = 1) then 

6 H s EAE Ze 

7 Nested_DFS_Search(2) 

8 return 

9 end 

10 计算 5(s)， 即 从 状态 s 一 次 迁移 可 达 状 态 的 集合 

11 for 每 一 个 s'€ 6(s) do 

12 if (s’ = Sa H mode = 2) then 

13 使 用 栈 21 和 2 的 内 容 输出 路 径 到 具有 接受 环 路 的 
状态 sa 

14 found :=true 

15 return 

16 end 

17 if s’ Z Rowe then 

18 R mode := R mode U {s’} 

19 Hs! AK Dmode 

20 Nested_DFS_Search(mode) 

21 end 

22 end 

23 end 

24 } 

25 Main() { 


26 Nested_DFS_Search(1) 
27 if (found =false ) then 输出 “没有 包含 sa 的 接受 环 路 ”end } 
28 


顾名思义 ， 该 思想 是 执行 两 个 深度 优先 搜索 ， 一 个 嵌 套 于 另 一 个 之 中 。 第 一 个 深度 优先 
搜索 确定 了 从 初始 状态 so 到 目标 接受 状态 s, 的 一 条 路 径 。 进 而 ， 再 从 s. 开始 另 一 个 深度 优 
先 搜索 以 检查 是 否 可 以 再 次 到 达 s,。。mode 变量 的 值 是 1 还 是 2 取决 于 正在 执行 第 一 个 搜索 
还 是 第 二 个 搜索 。 栈 ,和 号, 分别 被 用 于 模式 1 和 模式 2 中 的 搜索 。 如 果 在 第 二 个 搜索 中 
WET s,， 该 算法 会 产生 在 s, 上 具有 一 个 循环 的 s, 到 s, 的 路 径 作为 输出 。 通 过 从 栈 Sh 
读 出 内 容 ， 就 可 以 简单 地 得 到 从 so 到 s, 的 路 径 。 同 样 ， 可 以 从 栈 234E sa 到 其 自身 的 
环 路 。 否则， 算法 提示 搜索 失败 。 

搜索 优化 以 及 用 于 显 式 状态 可 达 性 分 析 的 状态 压缩 技术 ， 也 可 以 与 嵌 套 深度 优先 搜索 算 
法 一 起 使 用 。 更 多 细节 请 参见 Holzmann ( 2004 ) 。 


延伸 探讨 : 模型 检验 的 实践 
现在 ， 已 有 一 些 工 具 可 用 于 计算 有 限 状 态 系统 的 可 达 状 态 集 ， 以 及 检测 它们 是 否 
满足 时 态 逻 辑 中 的 规格 。 一 个 工具 是 SMV (Symbolic Model Verifier， 符 号 化 模型 验证 
器 )， 是 由 Kenneth McMillan 于 卡耐基 梅 隆 大 学 率先 开发 的 。SMYV 是 第 一 个 使 用 二 叉 判 
ÆA (Binary Decision Diagrams, BDD) 的 模型 检验 工具 ，BDD 是 Bryant ( 1986 ) 提出 
的 用 于 表示 布尔 函数 的 紧凑 数据 结构 。 这 里 BDD 的 使 用 已 经 被 证 明 有 助 于 分 析 更 为 复 
杂 的 系统 。 现 在 的 符号 化 模型 检验 器 还 严重 依赖 于 布尔 可 满足 性 ( Boolean Satisfiability, 


SAT) 求解 器 (Malik and Zhang，2009 )， 这 是 用 于 确定 一 个 命题 人 逻辑 公式 是 否 可 以 评估 
为 真 的 一 组 程序 。SAT 求解 器 在 模型 检验 中 的 一 个 最 先 应 用 是 有 界 模型 检验 (bounded 
model checking)( Biere et al.，1999 )， 其 中 系统 的 迁移 关系 仅 可 以 有 限 次 地 展开 。 读 者 
还 可 以 在 线 找到 SMV 的 一 些 不 同 版 本 (如 http://nusmv.fbk.eu/ ) o 

20 世纪 入 九 十 年 代 期 间 ， 贝 汞 实验 室 的 Gerard Holzmann 等 人 开发 了 SPIN 模型 检 
验 器 (Holzmann，2004 )， 这 是 模型 检验 的 另 一 个 主要 工具 (参见 http://www.spinroot. 
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com/)。 该 工具 没有 将 模型 直接 表示 为 通信 的 有 限 状 态 机 ， 而 是 使 用 了 一 个 规格 语言 ( 称 
为 Promela， 用 于 进程 元 语言 )， 这 使 得 设计 与 多 线程 程序 非常 相似 的 规格 成 为 可 能 。 
SPIN 将 状态 压缩 技术 ， 如 散 列 压缩 (使 用 散 列 法 来 减少 所 存储 状态 集 的 规模 ) 和 偏 序 化 
简 (通过 仅 考 虑 可 能 的 进程 交叉 的 一 个 子 集 来 减少 待 搜索 可 达 状 态 数量 的 技术 ) 等 ， 组 
合 起 来 使 用 

在 将 模型 检验 直接 运用 到 软件 的 工作 中 ， 自 动 抽象 扮演 着 重要 的 角色 。 基 于 抽象 的 
软件 模型 检验 的 一 个 例子 是 微软 研究 院 开 发 的 SLAM (Ball and Rajamani, 2001; Ball et 


al.，2011 )。SLAM 将 CEGAR 与 称 为 谓词 抽象 的 特定 抽象 形式 相 结 合 ， 在 谓词 抽象 中 ， 
程序 中 的 谓词 被 抽象 为 布尔 变量 。 这 些 技术 中 的 一 个 关键 步骤 是 ， 检 验 抽 和 象 模型 上 产生 
的 反例 是 否 在 实际 中 确实 是 一 个 真正 的 反例 。 对 于 比 命题 逻辑 更 为 丰富 的 逻辑 ， 要 使 用 
可 满足 性 求解 器 来 进行 检查 。 这 些 求解 器 被 称 为 基于 SAT 的 决策 函数 或 者 可 满足 性 模 理 
it (SMT) 求解 器 (更 多 细节 请 参考 Barrett et al.( 2009 ) ) 

最 近 ， 基 于 归纳 学 习 (inductive learning) 的 技术 (也 就 是 从 样本 数据 中 进行 概括 ) 
已 经 开始 在 形式 化 验证 中 发 挥 重 要 作用 (Seshia (2015) 阐述 了 这 个 主题 )。 


15.5 小 结 


本 章 就 形式 化 验证 给 出 了 一 些 基 础 算法 ,包括 模型 检验 这 个 验证 有 限 状 态 机 是 否 满足 以 
时 态 逻 辑 所 标定 属性 的 技术 。 将 一 个 系统 和 它 的 运行 环境 相 组 合 得 到 封闭 系统 ， 之 后 在 该 封 
闭 系统 上 进行 验证 第 一 个 关键 概念 是 可 达 性 分 析 ， 其 验证 Gp 形式 的 属性 。 作 为 模型 检验 
可 扩展 性 的 核心 ， 抽 象 概念 也 在 本 章 中 得 到 了 讨论 。 本 章 还 阐明 了 显 式 状态 模型 检验 算法 如 
何 处 理 活性 属性 ， 其 中 的 一 个 关键 是 属性 与 自动 机 间 的 对 应 关系 。 


习题 


1. 考虑 一 个 用 图 13-2 中 建 模 中 断 驱 动 程序 的 分 层 状态 机 所 建 模 的 系统 M. 
请 使 用 一 个 验证 工具 (如 SPIN) 的 建 模 语 言 对 M 进行 建 模 。 为 此 ， 还 必须 构建 一 个 请 求 中 断 
的 环境 模型 。 使 用 验证 工具 来 检测 M 是 否 满 足 第 13 章 习 题 $ 中 给 出 的 属性 6. 
$: 主 程序 最 终 会 到 达 程 序 中 的 位 置 C。 
请 对 此 验证 工具 中 所 得 到 的 输出 结果 进行 解释 
2. 图 15-3 给 出 了 图 3-10 中 交通 灯 控 制 器 和 图 3-11 中 行人 模型 的 同步 响应 组 合 。 
戎 虑 用 如 下 模型 来 奉 代 图 15-3 中 的 行人 模型 。 以 下 模型 的 初始 状态 非 确 定性 地 被 选择 为 none 


或 crossing。 





输入 : sigR, sigG, sigY : pure 
输出 : pedestrian : pure 
true/ 


true / pedestrian 






Crossing 


w 
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(a) 请 使 用 一 个 验证 工具 (如 SPIN) 的 建 模 语 言 对 该 组 合 系统 进行 建 模 。 该 组 合 系统 具有 多 少 个 可 
达 状 态 ? 其 中 有 和 多少 个 是 初始 状态 ? 

(b) 请 形式 化 给 出 表示 “每 当 一 个 行人 到 来 ， 该 行人 最 终 会 被 允许 通过 ”( 即 交通 灯 进 入 red 状态 ) 的 
线性 时 态 逻 辑 属性 。 

(c) 使 用 验证 工具 检测 (a) 中 构建 的 模型 是 否 满足 Cb) 中 表示 的 线性 时 态 逻 辑 属性 。 请 对 验证 工具 
的 输出 进行 解释 。 


. 可 达 性 概念 具有 良好 的 对 称 性 。 其 不 只 是 描述 从 某 个 初始 状态 可 达 的 所 有 状态 ， 也 可 以 描述 能 够 到 


达 某 个 状态 的 所 有 状态 。 给 定 一 个 有 限 状态 系统 M， 状 态 集 FF 的 后 向 可 达 状 态 ( backward reachable 
state) 是 可 到 达 F 中 某 个 状态 的 所 有 状态 的 集合 B。 以 下 算法 为 给 定 的 状态 集 书 计算 其 后 向 可 达 状 
态 集 。 

输入 : 封闭 有 限 状 态 系统 1M 的 状态 集合 五 及 迁移 关系 6 

输出 : MM 中 从 五 向 后 可 达 状 态 的 集合 B 
1 初始 化 : B:= F 


t Big B 

3 while Brew Æ Ô do 

4 Brew = {s | ds’ € B s.t. s’ € (s) ^s € B} 
5 B= BU Brow 

6 end 


请 解释 ， 该 算法 如 何 检验 M 上 的 属性 Gp， 其 中 p 是 M 的 每 个 状态 中 易于 检验 的 某 个 属性 。 可 
以 假设 M 只 有 一 个 初始 状态 Soo 
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定量 分 析 





线 控 和 刹车 系统 会 在 一 毫秒 内 准确 地 进行 刹车 吗 ? 要 回答 这 个 问题 ， 就 需要 在 某 种 程度 
上 对 线 控 刹 车 系统 中 电子 控制 单元 (ECU) 上 运行 的 软件 进行 执行 时 间 分 析 ( execution-time 
analysis)。 软 件 的 执行 时 间 是 能 入 式 系 统 定量 属性 ( quantitative property) 的 一 个 例子 。 系 
统 在 一 毫秒 内 准确 刹车 的 约束 是 一 个 定量 约束 (quantitative constraint)。 对 定量 属性 进行 符 
合 定 量 约束 的 分 析 是 和 谍 入 式 系统 正确 性 的 核心 ， 也 是 本 章 所 要 讨论 的 主要 内 容 。 

垦 入 式 系统 的 定量 属性 是 任何 可 以 被 测量 的 属性 ， 包 括 一 系列 物理 参数 ， 如 由 髋 入 式 系 
统 控制 的 车 辆 当前 位 置 与 速度 、 系 统 的 重量 、 运 行 温度 、 能 耗 或 者 响应 时 间 。 在 本 章 中 , 我 
们 关注 由 软件 控制 的 系统 的 相关 属性 ， 特 别 是 其 执行 时 间 ， 并 将 阐述 可 以 确保 满足 执行 时 间 
约束 的 程序 分 析 技 术 。 同 样 ， 也 将 讨论 如 何 使 用 类 似 的 技术 来 分 析 软 件 的 其 他 定量 属性 ， 特 
别 是 电源 、 能 量 和 存储 器 等 资源 的 使 用 。 

定量 属性 的 分 析 需 要 足够 的 系统 软件 组 件 以 及 软件 运行 环境 的 模型 。 运 行 环境 包括 处 理 
器 、 操 作 系统 、 输 入 输出 设备 、 与 软件 交互 的 物理 组 件 以 及 通信 网 络 (如 适用 的 话 )。 环 境 
有 时 也 被 称 为 软件 运行 平台 。 对 执行 时 间 分 析 进 行 综合 处 理 需要 更 多 的 知识 ， 而 本 章 的 目标 
则 更 为 聚焦 。 我 们 对 程序 以 及 在 定量 分 析 中 所 必须 考虑 的 环境 关键 属性 进行 说 明 ， 同 时 ， 我 
们 也 会 定性 地 阐述 所 使 用 的 分 析 技术 。 对 于 正确 性 ， 我 们 聚焦 于 一 个 单独 的 量 ， 即 执行 时 
间 ， 并 对 其 他 与 资源 相关 的 定量 属性 进行 简要 讨论 。 


16.1 关注 的 问题 

典型 的 定量 分 析 问 题 包括 由 程序 P 定 义 的 一 个 软件 任务 、 程 序 运行 的 环境 E 以 及 关注 
tq. 假设 gq 可 以 由 如 下 函数 让 给 出 : 

q =Jr(x, w) 

其 中 x 表示 程序 P 的 输入 (例如 ， 从 存储 器 或 传感器 读 取 的 数据 ， 或 者 从 网 络 接收 的 数 
据 等 )，w 表示 环境 参数 (如 网 络 延 时 或 者 程序 开始 执行 时 Cache 的 内 容 等 )。 完 整地 定义 万 
函数 通常 是 既 不 可 行 也 没有 必要 的 ; 相反 ， 实 际 的 定量 分 析 将 为 q 生成 极 值 (最 大 值 或 最 小 
值 )、 平 均值 或 者 4 满足 特定 国 值 约束 的 证 明 。 接 下 来 ,我 们 将 对 这 些 内 容 进 行 详细 说 明 。 
16.1.1 极端 情况 分 析 

在 极端 情况 分 析 中 ， 我 们 可 能 想 要 对 所 有 的 x 和 w 估计 9g 的 最 大 值 ， 如 式 (16.1) 所 示 。 

max fp (xX,w) (16.1) 

RA, KAA (16.2) 来 估计 q 的 最 小 值 。 


min fp (x, w) (16.2 ) 
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WAR q 代表 程序 或 者 程序 片段 的 执行 时 间 ， 那 么 其 最 大 值 就 被 称 为 最 坏 执行 时 间 
( Worst-Case Execution Time，WCET)， 最 小 值 被 称 为 最 好 执行 时 间 ( Best-Case Execution 
Time，BCET)。 精 确 地 确定 这 些 数 值 可 能 是 非常 困难 的 ， 但 对 于 很 多 应 用 而 言 ， 一 般 只 需 
要 WCET 的 上 界 或 者 BCET 的 下 界 。 当 计算 得 到 的 界 等 于 实际 的 WCET 或 者 BCET 时 ， 就 
说 其 是 一 个 紧 确 界 (tight bound); 反之 ， 如 果 它 们 之 间 存 在 明显 的 差距 ， 那 么 就 称 其 是 一 个 
松弛 界 (loose bound)。 计 算 松弛 界 可 能 比 找 出 紧 确 界 要 容易 得 多 。 


16.1.2 Ba 


阅 值 属性 (threshold property) 检查 对 于 任何 的 x 和 w，g AYE T ERE EF EL 
了 以 上 或 以 下 。 形 式 化 地 ， 该 属性 可 以 表示 为 式 (16.3) 或 式 (16.4). 
Vx,w, fpo(x,w) ST (16.3) 
yaw f(x,w) = T (16.4) 
阔 值 分 析 可 以 提供 一 个 满足 定量 约束 的 保证 ， 如 要 求 线 控 刹 车 系统 在 一 毫秒 内 精确 
AE 
(BL ad Tr ÉI Se Ht LE AS he E PT BE IAS Be RL PT AS Te], BRLEL OP AT AS BER 
精确 地 确定 最 大 或 最 小 值 ， 甚 至 找 出 这 些 值 的 紧 确 界 。 相 反 ， 其 是 以 目标 值 7 的 形式 的 某 些 
导向 来 支持 分 析 。 当 然 ， 也 能 够 使 用 极端 情况 分 析 来 检查 阔 值 属性 。 具 体 地 ， 如 果 WCET 
不 超过 7 了， 式 (16.3) 的 约束 成 立 ; 如 果 BCET REF T, st (16.4) 的 约束 成 立 。 


16.1.3 ”平均 情况 分 析 

分 析 中 更 为 常见 的 是 对 典型 资源 使 用 的 关注 ， 而 不 是 其 最 坏 情形 ， 这 被 形式 化 为 平均 情 
况 分 析 。 这 里 ， 假 设 输入 x 的 值 以 及 环境 参数 w 分 别 是 依据 概率 分 布 D. 和 D,, 从 可 能 取 值 
HEH XA 丈 中 随机 选取 的 。 形 式 上 ， 我 们 试图 用 式 〈16.5 ) 来 估计 该 值 ， 其 中 Epp X 
ARTES} D, All D, Efx, w) 的 期 望 值 。 

Ep, p, Je, w) ( 16.5 ) 

在 平均 情况 分 析 中 ， 困 难 在 于 定义 出 真实 的 分 布 D, 和 D,， 使 其 可 以 刻画 输入 和 程序 运 
行 环 境 参 数 的 实际 分 布 。 

在 本 章 的 后 续 部 分 ， 我们 将 关注 一 个 称 为 WCET 估计 的 代表 性 问题 。 


16.2 ”将 程序 表示 为 图 


在 程序 分 析 中 经 常 使 用 的 一 个 基本 抽象 是 将 程序 表示 为 图 ， 该 图 给 出 了 一 个 代码 段 
到 另 一 个 代码 段 的 控制 流 。 我 们 将 使 用 如 下 运行 示例 来 说 明 该 抽象 以 及 本 章 中 的 相关 


> 函数 modexp 执行 模 帘 运算 (modular exponentiation )， 该 运算 是 很 多 加 密 算 
法 中 的 一 个 关键 步 又。 在 模 敌 运 算 中 ,给 定 一 个 底数 b、 指 数 e 以 及 一 个 模 数 m， 必 须 计 算 
b'i m 的 值 。 在 如 下 程序 中 ，base、exponent 和 mode DAIRA T b, e 以 及 m。EXP_BITS 
表示 指数 中 的 位 数 。 该 函数 使 用 了 一 个 标准 的 移 位 一 平方 一 累积 算法 ， 其 中 对 于 指数 中 的 每 
个 位 ， 底 数 都 要 进行 一 次 平方 运算 ， 并 且 仅 当 该 位 的 值 为 1 时 底数 才 会 被 累积 到 结果 result 
变量 中 。 


1 #define EXP_BITS 32 

2 

3 typedef unsigned int UI; 
4 

s UI modexp(UI base, UI exponent, UI mod) { 
6 int i; 

7 UI result = 1; 

8 
9 


i = EXP_BITS; 


10 while(i > 0) { 
11 if ((exponent & 1) == 1) | 
12 result = (result * base) % mod; 
13 } 
14 exponent >>= 1; 
15 base = (base * base) % mod; 
16 i=? 
17 } 
18 return result; 
19 } 
16.2.1 基本 块 


BAR (basic block) 是 一 个 连续 的 程序 语 名 序列， 其中， 控制 流 仅 从 该 序列 的 开始 进 
入 且 仅 在 结束 时 离开 ， 在 结束 之 前 不 会 终止 或 者 出 现 可 能 的 分 支 。 


GIR 示人 16.1 中 modexp 函数 的 如 下 三 条 语句 构成 了 一 个 基本 块 。 


14 exponent >>= 1; 


15 base = (base * base) % mod; 
另 一 个 基本 块 的 例子 是 函数 顶部 的 初始 化 部 分 ， 从 代码 的 第 7 行 到 第 9 行 。 
7 result = 1; 


8 
9 i = EXP_BITS; 


16.2.2 ”控制 流 图 

程序 P 的 控制 流 图 ( Control-Flow Graph, CFG) 是 一 个 有 向 图 G=(V, 5)， 其 中 顶点 集 
合 人 让 由 程序 P 的 基本 块 组 成 ， 边 的 集合 E 则 对 应 了 基本 块 之 间 的 控制 流 。 图 16-1 刻画 了 示 
fi) 16.1 中 modexp 程序 的 控制 流 图 。 该 控制 流 图 的 每 个 结 点 用 其 对 应 的 基本 块 进行 标 记 。 在 
大 多 数 情 况 下 ， 这 些 标记 只 是 如 同 示例 16.1 中 的 代码 。 唯 一 的 例外 是 条 件 语句 ， 如 while 循 
环 和 证 语句 中 的 条 件 。 在 这 些 情况 下 ,我们 依 惯例 用 带 有 问号 的 条 件 来 表示 条 件 分 支 。 

尽管 这 一 控制 流 图 的 说 明 性 示例 是 C 源 代码 级 的 ,但 是 在 其 他 程序 表示 层级 使 用 控制 
流 图 也 是 可 能 的 ， 包 括 高 级 模型 以 及 低级 汇编 语言 。 所 采用 的 表示 层级 取决 于 上 下 文 所 要 求 
的 详细 程度 。 为 了 使 其 更 易于 理解 ， 我 们 的 控制 流 图 将 处 于 源 代码 层 。 
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1 


3 


(exponent & 1) == 1)? 


result = (result * base) % mod; 


exponent >>= 1; 
base = (base * base) % mod; 
L==% 


6 


return result; 


图 16-1 示例 16.1 中 modexp 函数 的 控制 流 图 ( 结 点 的 所 有 入 射 边 表示 到 该 结 点 所 对 应 基本 块 
开始 的 控制 切换 ， 所 有 的 出 射 边 则 表示 从 该 结 点 所 对 应 基本 块 的 末端 的 出 口 。 为 了 清 
楚 起 见 ， 我 们 用 0 或 1 来 标记 从 分 支 语 句 引出 的 边 ， 分 别 表示 分 支 估 值 为 假 或 真 时 的 
控制 流 。 在 基本 块 的 结 点 上 方 标注 了 该 基本 块 的 ID， 本 例 中 ID 的 范围 为 1 到 6) 





16.2.3 ”函数 调用 


程序 通常 被 分 解 为 一 组 函数 ， 以 系统 地 组 织 代码 并 提升 其 复 用 性 和 可 读 性 。 通 过 引入 特 
定 的 调用 ( call) 和 返回 (return) 边 ， 可 以 对 控制 流 图 的 表示 进行 扩展 ， 以 便于 对 具有 吗 数 
调用 的 代码 进行 推理 。 这 些 边 连 接 调 用 者 函数 和 被 调用 者 函数 的 控制 流 图 。 调 用 边 说 明了 从 


调用 者 到 被 调用 者 的 控制 转换 ， 返 回 边 则 说 明 从 被 调用 者 返回 到 调用 者 的 控制 转换 。 


GIRS TERZA 中 模 宗 运算 程序 的 另 一 个 版 本 ， 其 使 用 了 函数 调用 而 且 可 


以 由 具有 调用 边 和 返回 边 的 控制 流 图 来 表示 ， 如 图 16-2。 


#define EXP_BITS 32 
typedef unsigned int UI; 
UI exponent, base, mod; 


1 
2 

3 

4 

5 UI update(UI r) { 

6 UI res = r; 

7 if ((exponent & 1) == 1) { 
8 res = (res x base) % mod; 
9 } 

10 exponent >>= 1; 

11 base = (base * base) % mod; 
12 return res; 

13 } 

14 

is UI modexp_call() { 

16 UI result = 1; int i; 
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17 i = EXP_BITS; 

18 while(i > 0) { 

19 result = update (result); 
20 Ey 

21 } 

22 return result; 


23 } 











result = 1; 
i = EXP BITS; 


res = r; 
( (exponent & 1) == 1)? 


exponent >>= 1; 
base = (base * base) % mod; 


return result; 





图 16-2 示例 16.3 中 modexp_call 和 update 函数 的 控制 流 图 (虚线 表示 调用 /返回 边 ) 


非 递归 函数 调用 也 可 以 由 内 联 化 (inlining) 进行 处 理 ， 即 将 被 调用 函数 的 代码 拷贝 到 
调用 者 函数 的 代码 中 。 在 必须 被 分 析 的 代码 中 ， 如 果 是 对 所 调用 的 全 部 函数 传递 地 执行 内 
联 化 ,那么 就 可 以 在 内 联 化 所 生成 代码 的 控制 流 图 上 进行 分 析 ， 而 不 需要 使 用 调用 边 和 返 
回 边 。 


16.3 ”执行 时 间 的 决定 因素 

为 了 估计 程序 的 最 坏 执行 时 间 ， 必 须要 考虑 很 多 方面 的 因素 。 本 节 将 列 出 一 些 主要 因素 
并 结合 示例 进行 说 明 。 在 讨论 这 些 因素 的 过 程 中 ,我 们 基于 程序 员 的 视角 ， 从 程序 结构 开始 
分 析 环 境 如 何 影响 程序 的 执行 时 间 。 


16.3.1 循环 边界 


在 限定 程序 执行 时 间 时 ， 首 先 必须 要 考虑 的 一 点 是 程序 是 否 结束 。 顺 序 程序 没有 结束 可 
能 是 由 非 终止 循环 或 者 函数 所 调用 无 限 序列 所 引起 的 。 因 此 ， 当 编写 实时 藤 入 式 软 件 时 ， 程 
序 员 必 须 确保 所 有 的 循环 一 定 会 被 终止 。 为 了 保证 这 一 点 ， 就 必须 为 每 个 循环 确定 一 个 在 最 
坏 执 行情 况 下 的 循环 执行 次 数 限制 。 类 似 地 ， 所 有 函数 调用 必须 具有 有 限 的 递归 深度 。 确 定 
循环 迭代 或 递归 深度 边界 的 问题 通常 是 不 可 判定 的 ， 因 为 图 灵机 的 停机 问题 可 以 被 归 约 为 两 
者 之 中 的 任何 一 个 问题 (参见 附录 B 来 了 解 图 灵机 和 可 判定 性 )。 

本 节 仅 关注 对 循环 的 推理 。 尽 管 问 题 具 有 不 可 判定 的 本 质 ， 但 面向 实际 中 出 现 的 几 种 模 
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式 ， 自 动 确定 循环 边界 已 经 取得 了 进展 。 确 定 循环 边界 的 技术 是 当前 的 一 个 研究 主题 ， 当 然 
对 这 些 方法 的 全 面 阐述 已 经 超出 了 本 章 的 范围 。 本 书 将 只 限定 于 阐述 循环 边界 推导 的 一 些 说 
明 性 示例 。 

最 简单 的 情况 是 具有 确定 常数 边界 的 for 循环 ， 如 示例 16.4 所 示 。 这 种 情况 在 伐 入 式 软 
件 中 经 常 出 现 ， 这 在 一 定 程度 上 源 于 设计 人 员 结 合 实时 约束 和 有 限 资源 进行 编程 时 所 要 执行 
的 编程 规则 。 


GEIR 6 Fe Fh modexpl 函数 。 这 是 示例 16.1 中 执行 模 惫 运算 modexp 函数 的 
变 体 ， 这 里 用 等 价 的 for 循环 替代 了 while 循环 。 


1 #define EXP_BITS 32 


3 typedef unsigned int UI; 

4 

5 UI modexpl (UI base, UI exponent, UI mod) { 
6 UI result = 1; int i; 

j 

8 for (i=EXP_BITS; i > 0; i-=) { 

9 if ((exponent & 1) == 1) { 

10 result = (result * base) % mod; 
1 } 

12 exponent >>= 1; 

13 base = (base * base) % mod; 

14 } 

15 return result; 


i6 } $ 
在 本 函数 所 示 的 情形 中 ， 很 容易 看 出 for 循环 将 精确 地 执行 EXP_BITS 次 和 迭代， 这 里 
EXP_BITS 被 定义 为 常量 32。 

在 很 多 情况 下 ， 循 环 边界 并 不 是 很 明显 (如 上 例 所 示 )。 为 了 解决 这 个 问题 ， 如 下 给 出 
示例 16.4 的 另 一 个 变 体 。 

GIRS 如 下 给 出 的 函数 也 执行 与 示例 16.4 相同 的 模 乱 运 算 。 然 而 ， 在 本 例 中 ，for 
循环 被 采用 不 同 循环 条 件 的 while 循环 所 代替 一 一 exponent 为 0 时 while 循环 退出 。 现 在 检 
查 一 下 while 循环 是 否 结束 (如 果 是 ， 原 因 是 什么 )。 
typedef unsigned int UI; 


UI modexp2(UI base, UI exponent, UI mod) { 
UI result = 1; 


while (exponent != 0) { 


if ((exponent & 1) == 1) { 
result = (result * base) % mod; 
9 } 
10 exponent >>= 1; 
il base = (base * base) % mod; 
12 } 
13 return result; 


14 } 

现在 ,我们 来 分 析 该 循环 结束 的 原因 。 请 注意 ，exponent 是 一 个 无 符号 整 型 数 ， 且 假设 
是 32 位 宽 。 如 果 其 开始 时 等 于 0， 该 循环 立即 结束 且 函 数 返 回 result=1。 如 果 不 是 ， 在 每 次 
循环 迭代 中 ， 第 10 行 代码 将 exponent 向 右 移动 一 位 。 由 于 exponent 是 一 个 无 符号 整 型 数 ， 
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因此 ， 在 向 右 移 位 之 后 ， 其 最 高 位 将 为 0。 由 此 推定 ， 在 最 多 32 次 向 右 移 位 之 后 ，exponent 
的 所 有 位 都 必 将 被 设置 为 0， 从 而 使 得 循环 结束 。 由 此 ， 我 们 可 以 得 出 该 循环 的 边界 是 32。 

让 我 们 再 来 思考 上 例 中 采用 的 推理 技术 。 可 以 看 到 ， 该 “结束 证 据 ” 的 关键 组 件 是 每 
次 循环 执行 中 exponent 的 位 数 会 减 1。 通 过 定义 一 个 把 每 个 程序 状态 映射 到 称 为 良 序 ( well 
order) 的 数学 结构 的 进度 度量 (progress measure) 或 者 次 序 函 数 (ranking function )， 就 形成 
了 证 明 终 止 的 一 个 标准 依据 。 直 观 上 ， 良 序 与 从 某 个 实数 初 值 倒数 到 0 的 程序 相似 。 


16.3.2 ”指数 路 径 空间 


执行 时 间 是 一 个 路 径 属 性 。 换 句 话说， 程序 消耗 的 时 间 是 关于 程序 中 分 支 语句 怎样 估 值 
为 真 或 假 的 函数 。 导 致 执行 时 间 分 析 《〈 以 及 其 他 程序 分 析 问 题 ) 复杂 性 的 一 个 主要 因素 是 程 
序 路 径 的 数量 非常 庞大 ， 其 是 程序 规模 的 指数 级 。 以 下 示例 说 明了 这 一 点 。 


GRID 考 卡 如 下 所 示 的 count 函数 ， 其 运行 于 一 个 二 维 数组 之 上 ， 分 别 统计 数组 中 
非 负 值 和 负 值 元 素 的 数量 及 其 数据 的 和 。 


#define MAXSIZE 100 


N = 


int Array [MAXSIZE] [MAXSIZE]; 
int Ptotal, Pcnt, Ntotal, Nent; 


int Outer, Inner; 


3 
4 

sien 

6 void count() { 
7 

8 for (Outer = 0; Outer < MAXSIZE; Outer++) { 
9 


for (Inner = 0; Inner < MAXSIZE; Inner++) { 


10 if (Array[Outer] [Inner] >= 0) { 

11 Ptotal += Array[Outer] [Inner]; 
12 Pent++; 

13 } else { 

14 Ntotal += Array[Outer] [Inner]; 
15 Nent++; 


16 } 
17 } 
18 } 

19 } 


该 函数 有 一 个 嵌 套 的 循环 。 每 个 循环 执行 MAXSIZE (B 100) Ko HE, RA MB 
环 体 (第 10 ~ 1647) 将 执行 10 000 次 一 一 与 数组 Array 中 元 素 的 数量 一 样 多 。 在 最 内 侧 循 
环 体 的 每 次 迭代 中 ， 第 10 行 的 条 件 可 以 估计 为 真 或 者 为 假 ， 由 此 导致 2” 条 循环 可 能 执行 
的 路 径 。 换 名 话说 ， 程 序 具 有 MABE. 


幸运 的 是 ， 如 我 们 将 在 16.4.1 节 看 到 的 ， 为 了 分 析 执 行 时 间 ， 我 们 不 需要 显 式 地 枚 举 所 
有 可 能 的 程序 路 径 。 


16.3.3 路径 可 行 性 

导致 程序 分 析 复 杂 性 的 另 一 个 原因 是 并 非 所 有 程序 路 径 都 是 可 执行 的 。 如 果 计 算 开 销 大 
的 函数 从 未 执行 ,那么 它 与 执行 时 间 分 析 就 是 无 关 的 。 

如 果 存 在 一 个 输入 x 使 得 程序 P 在 该 输入 上 执行 路 径 p， 这 条 路 径 p 就 被 认为 是 可 行 的 
( feasible)。 一 般 而 言 ， 即 使 已 知 P 将 会 终止 ,确定 路 径 p 是 否 可 行 仍然 是 一 个 棘手 的 计算 


244 BERN DH AATE 


问题 。 我 们 可 以 将 典型 的 NP 完全 问题 、 布 尔 可 满足 性 问题 ( 见 附录 B) 编码 为 在 特定 结构 
的 程序 中 检查 路 径 可 行 性 的 问题 。 在 大 多 数 的 实际 情况 下 ， 确 定 路 径 可 行 性 是 可 能 的 。 

GRIP 日 奈 示例 13.3， 这 是 从 开源 Paparazzi 无 人 飞行 器 (UAV) 项 目 中 提取 的 一 
个 软件 任务 (Nemer etal., 2006 )。 


#define PPRZ_MODE_AUTO2 2 


1 
2 #define PPRZ_MODE_HOME 3 

3 #define VERTICAL _MODE_AUTO_ALT 3 

4 #define CLIMB_MAX 1.0 

Si iga 

6 void altitude_control_task(void) { 

7 if (pprz_mode == PPRZ_MODE_AUTO2 

8 || pprz_mode == PPRZ_MODE_HOME) { 

9 if (vertical_mode == VERTICAL_MODE_AUTO_ALT) { 
10 float err = estimator_z - desired_altitude; 
11 desired climb 

12 = pre_climb + altitude pgain * err; 

13 if (desired climb < -CLIMB MAX) { 

14 desired_climb = -CLIMB MAX; 

15 } 

16 if (desired_climb > CLIMB MAX) { 

17 desired_climb = CLIMB MAX; 


这 个 程序 总 共有 11 条 路 径 。 然 而 ， 可 行 的 程序 路 径 只 有 9 条 。 为 了 理解 这 一 点 ， 请 
注意 第 13 行 的 desired_climb<-CLIMB MAX 和 第 16 行 的 desired climb>CLIMB_MAX 这 
两 个 条 件 不 能 同时 为 真 。 因 此 ， 经 过 最 内 部 两 个 条 件 语句 的 四 条 路 径 中 仅 有 三 条 是 可 行 
的 。 这 条 不 可 行 的 内 部 路 径 在 第 7 一 8 行 最 外 部 条 件 的 两 个 可 能 估 值 上 可 能 执行 ， 即 pprz_ 
mode==PPRZ_MODE_AUTO2 为 真 ， 或 者 如 果 其 为 假 ， 但 pprz_mode==PPRZ_MODE HOME 
的 值 为 真 。 


16.3.4 ”存储 器 分 级 体系 

前 几 节 的 内 容 聚 焦 于 影响 执行 时 间 的 程序 属性 。 现 在 ， 我 们 来 讨论 执行 平台 的 属性 ( 特 
别 是 Cache 存储 器 ) 如 何 对 执行 时 间 产 生 巨 大 影响 。 这 里 将 用 示例 16.8 进行 说 明 2 。9.2.3 节 
中 的 Cache 知识 与 本 讨论 相关 。 


GEIS 看 看 如 下 列 出 的 dot_product 函数 ， 其 计算 两 个 浮 点 数 向 量 的 点 积 8。 每 个 向 
量 的 维 数 就 是 函数 的 输入 n。 循 环 的 迭代 次 数 取决 于 n 的 值 。 然 而 ， 即 使 我 们 知道 n 的 一 个 
上 界 ， 硬 件 效应 仍然 会 使 得 相近 n 值 的 执行 时 间 有 较 大 差异 。 


1 float dot_product (float +x, float +y, int n) { 
2 float result = 0.0; 


3 int i; 
© 本 例 基于 Bryant and O’Hallaron ( 2003 ) 中 一 个 相似 的 示例 。 
O 也 称 标量 积 、 数 量 积 。 一 一 译 者 注 
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for(i=0; i < n; i++) { 
result += x[i] >» y[il; 


4 
5 
6 } 
7 return result; 
8 


} 

假设 程序 运行 在 具有 直接 映射 Cache 的 32 位 处 理 器 上 ， 且 Cache 可 以 容纳 两 个 分 组 ， 
每 一 组 可 以 存放 4 个 浮 点 数 。 最 后 ,假设 x 和 y 存放 在 起 始 地 址 为 0 的 连续 存储 区 域 。 

我 们 先 来 看 看 当 n=2 时 的 情形 。 此 时 ， ETA cee eH RS, 也 就 是 在 相 
同 的 Cache 分 组 中 。 由 此 ， 在 循环 的 每 一 个 迭代 中 ， 第 一 次 访问 x[0] 将 出 现 Cache 未 命中 ， 
但 之 后 每 次 读 取 x[i] 和 y[i 将 会 是 Cache 命中 ， 负 载 性 能 最 好 。 

再 来 看 n=8 的 情形 。 此 时 ,每 个 x[i] yli 都 映射 到 相同 的 Cache PAL, Hk, FRA 
一 次 访问 x[0] 时 将 出 现 Cache 未 命中 ， 第 一 次 访问 y[0] 也 将 不 会 命中 。 此 外 ， 后 一 个 访问 
将 替换 包含 x[0] ~ xB] 的 块 ， 从 而 导致 后 续 的 x[1]、x[2] 和 x[3] 访问 未 命中 。 读 者 可 以 看 
到 ， 对 x[i] 或 yi] 的 每 次 访问 都 将 会 引起 Cache 未 命中 。 

因此 ， 将 mn 值 从 2 改变 为 8 这 个 看 上 去 非常 小 的 变化 可 能 导致 该 函数 执行 时 间 的 巨大 变化 。 


16.4 执行 时 间 分 析 基 础 


执行 时 间 分 析 是 当前 的 一 个 研究 主题 ， 很 多 问题 仍然 是 有 待 解 决 的 。 相 关 研 究 工作 已 经 
开展 了 二 十 多 年 ， 并 形成 了 大 量 的 文献 。 本 章 不 会 对 这 些 方法 进行 全 面 阐述 。 反 之 ,我们 将 
讨论 一 些 当 前 在 WCET 分 析 技 术 和 工具 中 广泛 使 用 的 基本 概念 。 对 相关 细节 感 兴趣 的 读者 
可 以 进一步 参阅 一 些 综述 文章 ( Wilhelm et al.，2008 )、 书 籍 (如 Li and Malik ( 1999 )) 和 
某 些 书籍 的 章节 (如 Wilhelm ( 2005 ) ) 。 


16.4.1 优化 的 形式 化 表示 


WCET 问题 的 形式 化 表示 可 以 使 用 将 程序 表示 为 图 的 方法 来 进行 直观 的 构建 。 给 定 一 个 
程序 P, 用 G=(V, 表示 其 控制 流 图 ( CFG)。 令 n=|V|\ 是 图 G 中 结 点 ( 即 基 本 块 ) 的 数量 ， 
m=|E| 表示 边 的 数量 。 我 们 通过 基本 块 的 索引 i 来 引用 它们 ,其 中 i 的 范围 是 1 到 

假设 控制 流 图 具有 唯一 的 开始 结 点 或 者 源 结 点 s 以 及 唯一 的 汇聚 结 点 或 结 kA bat. 该 
假设 并 非 限制 性 的 : 如 果 有 多 个 开始 结 点 或 结束 结 点 ， 可 以 添加 一 个 哑 开 始 结 点 或 哑 结 束 结 
点 来 实现 这 个 条 件 。 通 常 ， 我 们 将 设置 s=1,， tn- 

令 x 表示 基本 块 i 已 经 执行 的 次 数 ， 且 将 其 称 为 基本 块 i 的 执行 计数 (execution count), 
令 XE Xn 017, Xp) 是 记录 执行 计数 的 变量 的 向 量 。 并 非 x 的 所 有 估 值 都 对 应 于 有 效 的 程序 执 
行 。 我 们 说 ， 如 果 x 中 的 元 素 对 应 于 一 次 (有效 的 ) 程序 执行 ,x 就 是 有 效 的 。 以 下 示例 说 
明了 这 个 问题 。 


考虑 示例 16.1 HREH AR modexp 的 控制 流 图 。 该 函数 中 有 6 个 基本 
块 ， 在 图 16-1 中 标记 为 1 到 6。 由 此 ，x=(x1, Xn …,x6)。 基 本 块 1 和 6( 即 开始 结 点 和 结束 
结 点 ) BRAK. PMU, xxl; 其 他 任何 估 值 都 不 能 对 应 于 任何 的 程序 执行 

再 来 看 基本 块 2 和 3， 分 别 对 应 于 条 件 分 支 i>0 和 (exponent & 1)==1。 可 以 看 到 ， 
须 等 于 x+1， 因 为 除了 循环 退出 至 6 号 块 之 外 ， ELERA i py 

基于 类 似 的 方法 ， 可 以 得 出 基本 块 3 和 5 的 执行 次 数 必 须 是 相等 的 。 
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流 的 约束 
示例 16.9 中 的 直观 表述 可 以 用 网 络 流 ( network flow) 理论 来 形式 化 ， 该 理论 应 用 于 很 
多 场合 ， 包 括 交通 、 流 体 流 量 以 及 电路 中 的 电流 建 模 等 。 具 体 而 言 ， 在 我 们 的 问题 上 下 文 
中 ， 流 必须 满足 如 下 两 条 属性 。 
1) 源 结 点 的 单元 流 : 从 源 结 点 s=1 到 汇聚 结 点 t=n 的 控制 流 是 单 次 执行 的 ， 因 此 对 应 
于 从 源 结 点 到 汇聚 节点 的 单元 流 。 这 条 属性 可 由 式 (16.6 ) 和 式 (16.7) 所 示 的 两 条 约束 来 
获得 。 
=] (16.6) 
x,=1 (16.7) 
2) 流 的 保持 : 对 于 每 个 结 点 (基本 块 ) i， 从 i 的 前 驱 结 点 进入 i 的 流 与 从 i 到 其 后 继 结 
点 发 出 的 流 的 数量 相等 。 
为 了 获得 这 一 属性 ， 我 们 引入 附加 变量 来 记录 控制 流 图 中 每 条 边 的 执行 次 数 。 依 据 Li 
和 Malik (1999) 给 出 的 符号 ， 令 di 表示 控制 流 图 中 从 结 点 i 到 结 点 j 的 边 的 执行 次 数 。 之 


后 ， 对 于 每 一 个 结 点 i，1 Kin, BRA (16.8 ) 成 立 。 其 中 ， 忆 是 结 点 i 的 前 驱 结 点 ，5, 
是 结 点 i 的 后 继 结 点 。 对 于 源 结 点 ，P1=@， 因 此 前 驱 结 点 上 的 和 被 省 略 。 类 似 地 ， 对 于 汇聚 
结 点 有 5,=@， 因 此 其 后 继 结 点 上 的 和 被 省 略 。 
x=) d=} d; (16.8) 
jek, jes; 
将 上 述 两 组 约束 合 起 来 就 足以 隐 含 地 定义 程序 中 所 有 从 源 结 点 到 汇聚 结 点 的 执行 路 径 。 


由 于 这 种 基于 约束 的 表示 方法 是 程序 路 径 的 隐 式 表示 方法 ， 因 此 该 方法 在 文献 中 也 被 称 作 隐 
式 路 径 枚 举 (Implicit Path Enumeration) 或 IPET。 
下 面 我 们 用 一 个 例子 来 说 明 上 述 约束 的 产生 过 程 。 


GIRLS 再 次 看 看 示例 16.1 中 的 modexp 函数 ， 图 16-1 给 出 了 其 控制 流 图 。 
该 控制 流 图 的 约束 如 下 所 示 。 


x,=1 
x= 1 
X1= di 


X= dy + ds = dy; + dye 

xX; = dz = dy, + dzs 

X, = d34 = dis 

X5 = dzs + dys = ds, 

X= dye 

以 上 方程 组 的 任何 解 都 将 产生 x; 和 d; 变量 的 整数 值 。 另 外 ,该 解 为 每 个 基本 块 生成 有 
效 的 执行 计数 。 例 如 ， 以 下 就 可 以 是 一 个 有 效 的 解 。 

x, =1, d= 1, x, = 2, dy, = 1, x; = 1, dy, =0, dy, = 1, 

x, = 0, dys = 0, x; = 1, da = 1, X6 = 1, dy, = 1 

请 读者 再 找 出 其 他 解 并 进行 检验 。 


整体 优化 问题 
现在 我 们 就 能 够 形式 化 整个 优化 问题 来 确定 最 坏 执行 时 间 。 本 节 中 做 出 的 关键 假设 是 我 
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们 知道 基本 块 i 执行 时 间 的 上 界 w (我 们 将 在 16.4.3 节 看 到 如 何 来 限定 单个 基本 块 的 执行 时 
间 )。 之 后 ， 可 以 由 基于 有 效 执行 计数 x, 的 最 大 值 > awx 给 出 WCET. 
结合 之 前 的 形式 化 约束 ,我 们 的 目标 就 是 求 出 一 组 满足 下 式 的 x, 值 。 


max Dwx, 


x ,Eien i 
i= 


其 约束 条 件 如 下 。 
x, =x, =1 
x= Did = Dd 
该 优化 问题 是 线性 规划 ( Linear Programming 或 Linear Program, LP) 问题 的 一 种 形式 ， 
且 是 多 项 式 时 间 内 可 解 的 。 
然而 ， 这 里 依然 存在 两 个 主要 挑战 : 
© 该 形式 化 表示 假设 控制 流 图 中 从 源 结 点 到 汇聚 结 点 的 所 有 路 径 都 是 可 行 的 ， 而 且 该 
形式 化 表示 不 会 在 路 径 中 限制 循环 。 如 我 们 在 16.3 节 中 所 见 ， 通 常情 况 却 并 非 如 此 。 
由 此 ， 解 决 上 述 最 大 化 问题 可 能 会 在 WCET 上 产生 一 个 令 人 感到 诅 丧 的 松弛 界 。 我 
们 将 在 16.4.2 节 继 续 关 注 这 一 挑战 。 
o 基本 块 i 的 执行 时 间 上 界 w 仍然 有 竺 确定。 我们 将 在 16.4.3 节 对 该 问题 进行 简要 阐 
述 。 


16.4.2 BERAIR 


为 了 确保 WCET 优化 问题 不 会 因为 包含 无 法 执行 的 路 径 而 引起 麻烦 ， 我 们 必须 增加 所 
谓 的 逻辑 流 约束 (logical flow constraint)。 这 些 约束 排除 了 不 可 行路 径 并 在 循环 迭代 的 次 数 
上 增加 了 边界 。 以 下 用 两 个 例子 来 说 明 这 些 约束 。 

循环 边界 

对 于 有 循环 的 程序 ， 有 必要 使 用 循环 迭代 边界 来 限定 基本 块 的 执行 次 数 。 


GEIR 考虑 示例 16.1 中 的 模 备 运算 程序 ， 示 例 16.10 给 出 其 流 约束 。 

请 注意 这 些 约束 并 没有 为 x 或 x 设立 上 界 。 如 示例 16.4 和 示例 16.5 中 所 讨论 的 ， 本 
例 中 循环 迭代 次 数 的 边界 为 32。 然 而 ,没有 施加 这 个 附加 约束 ， x; 或 x 就 没有 上 界 ， 所 以 
WCET 优化 问题 的 解 就 是 无 限 的 ， 这 意味 着 WCET 没有 上 界 。 如 下 单个 约束 足够 解决 这 个 
问题 。 

x; 32 

由 x3 上 的 这 一 约束 ， 我 们 可 以 得 出 x 三 32 的 约束 ， 以 及 和 xs 的 上 界 。 那 么 ， 由 此 

形成 的 优化 问题 将 会 为 有 限 个 w; 值 返回 一 个 有 限 的 解 。 


在 x 的 值 上 增加 这 样 的 边界 并 不 会 改变 该 优化 问题 的 复杂 性 。 这 仍然 是 一 个 线性 规划 
问题 。 

不 可 行路 径 

一 些 逻 辑 流 约束 排除 了 在 单个 路 径 上 不 可 能 同时 出 现 的 基本 块 组 合 。 
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AE FERETE H 16.7 所 描述 开源 Paparazzi 无 人 机 项 目 软件 任务 (Nemer et 
al., 2006) 的 代码 片段 。 


#define CLIMB_MAX 1.0 
void altitude_control_task(void) { 


1 
2 

3 

4 eee 

5 err = estimator_z - desired_altitude; 

6 desired_climb 

7 = pre_climb + altitude_pgain * err; 
8 if (desired_climb < -CLIMB_MAX) { 

9 desired_climb = -—CLIMB_MAX; 

10 } 

11 if (desired_climb > CLIMB_MAX) { 

12 desired_climb = CLIMB MAX; 

13 } 

14 return; 

is } 


以 上 代码 片段 的 控制 流 图 如 图 16-3 所 示 。 根 据 16.4.1 节 中 的 规则 ， 可 给 出 如 下 控制 流 
图 的 流 约束 方程 组 。 







err = estimator z - desired altitude; 
desired climb 

= pre climb + altitude pgain * err; 
(desired_climb < -CLIMB MAX)? 


图 16-3 示例 16.12 的 控制 流 图 


而 三 ] 

x= 1 

x, = d+ di; 

Xx = dn = d» 

X3 = di; + dy; = ds, + dys 
Xs = ds4 = dys 

xs = dss + dys 


如 下 给 出 这 个 方程 组 的 一 组 解 。 


Xi =X) =X, = X= X; = 
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其 表示 每 个 基本 块 仅 被 执行 一 次 ， 且 两 个 条 件 的 估 值 都 为 true。 然 而 ， 如 示例 16.7 中 
所 讨论 的 ， 两 个 条 件 的 估 值 都 为 true 是 不 可 能 的 。 因 为 CLIMB_MAX=1.0， 如 果 在 基本 块 1 
中 desired climb 的 值 小 于 -1.0， 那么 其 将 在 基本 块 3 的 开始 被 设置 为 -1.0。 
式 (16.9 ) 所 示 的 规则 排除 了 不 可 行 的 路 径 。 
dst+dy <1 (16.9) 
该 约束 指明 两 个 条 件 语 名 不 能 都 为 true。 当 然 ， 这 两 个 条 件 可 以 同时 为 false。 在 将 其 添 
加 到 原 有 系统 时 ， 可 以 检查 该 约束 是 否 排除 了 不 可 行 的 路 径 。 


更 为 形式 化 地 ， 对 于 没有 循环 的 程序 ， 如 果 控 制 流 图 中 上 条 边 的 集合 如 下 : 
(inji), (iz j2), ca (is Ji) 
其 不 能 在 一 次 程序 执行 中 被 同时 采用 ， 那 么 需要 将 式 (16.10) 所 示 的 约束 添加 至 该 优 
化 问题 中 。 


hh 


d,,+d,,+--+d,, <k-1 (16.10 ) 


对 于 具有 循环 的 程序 ， 由 于 可 以 多 次 经 过 一 条 边 ， 该 约束 就 变 得 更 为 复杂 了 ， 因 此 变量 
di 的 值 就 可 能 会 大 于 1。 在 本 例 中 ,我 们 忽略 了 这 些 细节 ， 感 兴趣 的 读者 可 以 参阅 文献 Li 
and Malik ( 1999 ) 以 了 解 更 为 深入 的 信息 。 

一 般 而 言 ， 由 于 必须 同时 增加 如 下 完整 性 ( integrality) 约束 ， 增 加 以 上 用 于 排除 不 可 行 
边 的 组 合 的 约束 就 会 改变 优化 问题 的 复杂 度 。 

Xi EN， 对 于 所 有 i=1,2,*…,n (16.11) 
d; E N， 对 于 所 有 i,j=1,2,…,n ( 16.12) 

在 缺少 这 样 的 完整 性 约束 时 ， 优 化 求解 器 可 能 会 返回 x; 和 4d; 变量 的 部 分 值 。 然 而 ， 增 
加 这 些 约束 会 引起 整数 线性 规划 CILP) 问题 。ILP 问题 被 认为 是 NP 难 问题 (参见 附录 B.4 
节 )。 即 使 如 此 ， 在 许多 实际 情况 下 ， 仍 然 可 以 相当 有 效 地 求解 这 些 ILP 问题 (参考 Li and 
Malik ( 1999 ) 中 的 相关 示例 )。 


16.4.3 ”基本 块 的 边界 


为 了 求解 WCET 分 析 的 优化 问题 ， 我 们 需要 计算 这 些 基本 块 的 执行 时 间 上 界 一 一 16.4.1 
节 开 销 函 数 中 的 w; 系数 。 执 行 时 间 通 常 以 CPU 周期 来 衡量 。 生 成 这 些 边界 则 需要 详细 的 微 
架构 建 模 ， 本 节 将 简要 地 列 出 一 些 方法 。 
对 该 类 问题 而 言 ， 一 个 相当 简单 的 方法 是 对 基本 块 中 每 条 指令 的 执行 时 间 生 成 保守 的 上 
界 ， 之 后 ， 将 这 些 上 界 相 加 来 获得 整个 基本 块 执行 时 间 的 上 界 。 
该 方法 存在 的 问题 在 于 这 些 指令 执行 时 间 的 变化 可 能 会 非常 大 ， 从 而 产生 基本 块 执行 时 
间 的 松弛 上 界 。 人 例如， 考虑 具有 数据 Cache 的 系统 中 访 存 指令 (装载 与 存储 ) 的 延迟 。 在 某 
些 平台 上 ，Cache 未 命中 与 命中 之 间 延 迟 的 差异 可 能 达到 100 倍 。 在 这 些 情 况 下 ， 如 果 该 分 
析 不 能 区 分 Cache 命中 与 未 命中 , 那么 计算 的 边界 就 可 能 比 实际 占用 的 执行 时 间 大 上 百倍 。 
为 了 更 好 地 使 用 程序 上 下 文 来 精确 地 预测 指令 执行 时 间 ， 发 展 过 程 中 陆续 出 现 了 一 些 技 
术 。 这 些 技术 包括 了 详细 的 微 架 构建 模 等 ， 如 下 我 们 介绍 两 种 主要 的 方法 。 
o 整数 线性 规划 (ILP) HH: Li 等 人 (1999) 最 先 提出 该 方法 ， 其 给 16.4.1 节 的 ILP 
形式 化 增加 了 Cache 约束 。Cache 约束 是 用 于 限定 基本 块 中 Cache 命中 和 未 命中 次 
数 的 线性 表达 式 。 该 方法 跟踪 引起 Cache 冲突 (标识 不 同 但 映射 到 相同 的 Cache 分 
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组 ) 的 内 存 位 置 ， 并 且 增 加 线性 约束 来 记录 该 类 冲突 对 Cache 命中 和 未 命中 的 影响 。 
那么 ， 必 须 通过 模拟 或 者 在 实际 平台 上 执行 等 测量 方法 来 获得 命中 和 未 命中 的 周期 
数 。ILP 的 开销 约束 被 修改 以 用 于 计算 程序 路 径 ， 沿 着 该 路 径 的 总 周期 数 最 大 (包括 
Cache 命中 与 未 命中 )。 本 方法 的 更 多 细节 请 参阅 Li and Malik ( 1999 ) 。 

抽象 解释 方法 : 抽象 解释 是 对 数学 结构 的 近似 理论 ， 特 别 是 那些 出 现在 计算 机 系统 语 
义 模型 定义 中 的 数学 结构 (Cousot and Cousot，1977 )。 具 体 而 言 ， 在 抽象 解释 中 会 
进行 合理 近似 (sound approximation)， 系 统 行为 的 集合 是 抽象 解释 所 产生 的 模型 行为 
的 一 个 子 集 。 在 WCET 分 析 的 情形 中 ， 抽 象 解释 已 经 被 用 于 推理 某 些 程序 位 置 上 的 
不 变量 ， 以 生成 循环 边界 以 及 处 理 需 流水线 状 态 约束 或 者 基本 块 和 人口 和 出 口 位 置 的 
Cache 约束 。 例 如 ， 这 样 一 个 约束 可 能 指定 在 什么 条 件 下 变量 在 数据 Cache 中 可 用 
(从 而 将 产生 Cache 命中 )。 一 旦 生成 了 这 样 的 约束 ， 就 可 以 从 满足 这 些 约束 的 状态 进 
行 测量 ， 以 计算 出 执行 时 间 的 估计 。 关 于 该 方法 的 更 多 细节 请 参阅 Wilhelm ( 2005 )。 

除 如 上 所 述 的 技术 之 外 ， 精 确 的 执行 时 间 测 量 对 于 找到 WCET 的 紧 确 界 是 非常 关键 的 。 
如 下 给 出 一 些 测量 技术 。 

1) 采样 CPU 周期 计数 器 : 某 些 处 理 需 包含 一 个 记录 自 复 位 后 CPU 周期 数 的 寄存 器 。 
例如 ，x86 体系 结构 中 的 时 间 戳 计数 寄存 器 (time stamp counter register) 就 完成 这 一 功能 ， 
且 可 以 通过 一 条 读 取 时 间 戳 计数 器 的 rdtsc 指令 来 进行 访问 。 然 而 ， 随 着 多 核 设计 以 及 电源 
管理 特性 的 出 现 ， 使 用 该 CPU 周期 计数 器 来 精确 测量 时 间 就 必须 要 非常 遵 慎 。 例 如 ， 可 能 
必须 将 一 个 进程 锁定 在 特定 的 CPU 上 

2) 使 用 逻辑 分 析 仪 : 逻辑 分 析 仪 (logic analyzer) 是 用 于 测量 信号 并 跟踪 数字 系统 事件 
的 电子 仪器 。 在 当前 上 下 文中 ， 所 关注 的 事件 是 要 被 测定 时 间 的 代码 的 入口 点 和 出 口 点 ， 例 
如 ， 其 可 定义 为 程序 计数 器 的 值 。 迎 辑 分 析 仪 较 周 期 计数 器 对 原 有 系统 的 影响 更 小 ， 因 为 它 
们 并 不 需要 测量 代码 ， 而 且 通 常 更 为 精确 。 然 而 ， 其 测量 的 设置 非常 复杂 。 

3 ) 使 用 周期 精确 模拟 器 : 在 很 多 情况 下 ， 必 须 在 实际 硬件 还 不 可 用 时 进行 定时 分 析 。 
此 时 ， 该 平台 的 周期 精确 模拟 器 就 是 不 错 的 选择 。 


16.5 ”其 他 定量 分 析 问 题 


虽然 本 章 重点 关注 执行 时 间 ， 但 还 存在 其 他 与 藤 入 式 系统 相关 的 定量 分 析 问 题 。 本 节 简 
要 介绍 其 中 的 两 个 。 


16.5.1 内存 边界 分 析 

与 通用 计算 机 相 比 ， 嵌 入 式 计 算 平 台 具 有 非常 有 限 的 存储 资源 。 如 第 9 章 中 所 述 ， 
Luminary Micro LM3S8962 控制 器 仅 提 供 了 64KB 的 RAM。 因 此 ， 必 须 设计 出 能 够 有 效 使 
用 存储 器 的 程序 。 对 此 ， 分 析 内 存 消耗 并 计算 内 存 访问 边界 的 工具 是 非常 有 用 的 。 

与 庶 和 人 式 系统 相关 的 内 存 边 界 分 析 有 两 种 。 栈 规模 分 析 (或 栈 分 析 ) 中 需要 计算 分 配给 
程序 使 用 的 栈 空间 的 规模 上 界 。 回 顾 9.3.2 节 ， 每 当 调用 一 个 函数 或 处 理 一 个 中 断 时 ， 就 会 
分 配 栈 内 存 。 如 果 程 序 使 用 了 超出 所 分 配 的 栈 内 存 ， 就 会 发 生 栈 的 溢出 。 

如 果 程 序 不 包含 递归 函数 且 无 中 断 地 运行 ， 就 可 以 通过 遍历 程序 的 调用 图 (call graph, 
记录 函数 调用 其 他 函数 的 图 ) 来 确定 栈 的 使 用 边界 。 如 果 每 个 栈 帧 结构 的 空间 是 已 知 的 ， 那 
么 就 可 以 沿 着 调用 图 中 的 路 径 来 跟踪 调用 和 返回 序列 ， 以 计算 最 坏 情 况 下 栈 的 大 小 。 
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对 中 断 驱 动 的 软件 进行 栈 规模 分 析 则 更 加 复杂 ， 我 们 向 感 兴趣 的 读者 推荐 Brylow et al. 
(2001 ). 

HES} HT (heap analysis) 是 男 一 个 与 舱 入 式 系统 相关 的 内 存 边 界 分 析 问 题 。 该 问题 比 栈 
的 边界 分 析 更 难 ， 因 为 函数 所 使 用 的 堆 空间 大 小 可 能 取决 于 输入 数据 的 值 ， 而 且 在 运行 之 前 
是 不 可 获知 的 。 另 外 ,程序 所 使 用 堆 空间 大 小 的 精确 程度 可 能 还 要 取决 于 动态 内 存 分 配 和 垃 
圾 收集 器 的 实现 。 


执行 时 间 分 析 工 具 

当前 可 用 于 执行 时 间 分 析 的 技术 主要 分 为 基于 静态 分 析 (static analysis) 的 技术 和 基 
于 测量 的 (measurement-based) 技术 。 

静态 工具 依赖 于 抽象 解释 以 及 数据 流 分 析 (dataflow analysis) 来 计算 所 选 定 程序 特 
定位 置 的 实际 状况 。 这 些 实 际 状况 被 用 于 确定 两 个 代码 段 之 间 的 依赖 关系 ， 生 成 循环 边 
界 并 确定 关于 平台 状态 的 当前 人 信息， 如 Cache RAF; 同时 ， 被 用 于 指导 基本 块 的 定时 
测量 ， 并 与 本 章 所 述 的 优化 问题 相 结合 。 静 态 工具 的 目标 是 找到 极端 情况 下 执行 时 间 的 
保守 边界 ; 然而 ， 它 们 很 难 被 移植 到 新 的 平台 上 ， 移 植 工作 通常 需要 数 个 人 月 (工作 量 
的 计量 单位 ) 的 努力 。 

基于 测量 的 工具 主要 是 采用 多 个 输入 对 程序 进行 测试 ， 进 而 从 这 些 测量 结果 中 估计 
所 关注 的 量 (如 WCET 等 )。 静 态 分 析 通 常用 于 对 程序 路 径 空间 和 测试 用 例 生 成 进行 引 
导 性 探索 。 基 于 测量 的 工具 易于 被 移植 到 新 平台 ， 且 广泛 应 用 于 极端 情况 分 析 和 平均 情 
况 分 析 ; 然而 , -并 非 所 有 技术 都 可 以 为 找 出 极端 情况 的 执行 时 间 提 供 保证 。 

关于 这 些 工具 的 更 多 细节 请 参阅 Wilhelm et al.( 2008 ) 和 Seshia and Rakhlin( 2012 )。 
如 下 给 出 部 分 工具 的 信息 和 连接 。 


名 称 主要 类 型 机 构 和 网 址 / 参考 文献 


AbsInt Angewandte Informatik GmbH (Wilhelm, 2005) 
http://www. absint.com/ait/ 


Tidorum Ltd. 


aiT 


= 
om 


Bound-T 
http://www.bound-t.com/ 


National University of Singapore (Li et al., 2005) 
Chronos 


http://www.comp.nus.edu.sg/"rpembed/chronos/ 

IRISA Rennes 
Heptane ea 

http://www. irisa.fr/aces/work/heptane-demo/heptane.html 

Malardalen University 

SWEET 
http://www.mrtc.mdh.se/projects/wcet/ 
UC Berkeley 


Seshia and Rakhlin (2008) 


GameTime 


at Rapita Systems Ltd. 
RapiTime 


http://www. rapitasystems.com/ 
Technical University Braunschweig 
SymTA/P nays . 
http://www.ida.ing.tu-bs.de/research/projects/symtap/ 
s Technical University of Vienna 
Vienna M./P. 
http://www.weet.at/ 
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16.5.2 ” 功 耗 和 能 耗 分 析 


功 耗 和 能 耗 分 析 正 在 日 益 成 为 髋 入 式 系统 设计 中 的 重要 因素 。 如 今 很 多 舱 入 式 系统 自主 
运行 且 受 到 电池 电力 的 约束 ， 因 此 ,设计 人 员 必 须 确保 在 能 耗 有 限时 任务 可 以 完成 。 男 外 ， 
日 益 普 适 化 的 人 戏 入 式 计算 的 能 耗 规模 正在 不 断 增加 ， 这 必须 被 降低 以 实现 可 持续 发 展 。 

对 第 一 点 而 言 ， 租 入 式 设 备 上 运行 的 程序 所 消耗 的 能 量 取决 于 其 执行 时 间 。 然 而， 仅 单 
独 估计 执行 时 间 是 不 够 的 。 例 如 ， 能 耗 取决 于 电路 切换 行为 ， 甚 又 可 能 更 加 依赖 于 指令 执行 
时 的 数据 值 。 

鉴于 该 原因 ， 面 向 嵌入 式 软件 能 量 和 功 耗 估 计 的 很 多 技术 都 聚焦 于 估计 平均 情况 下 的 
消耗 。 平 均 情 况 通常 是 参照 软件 基准 对 几 种 不 同 数据 值 的 指令 进行 估算 之 后 得 出 的 。 文 献 
Tiwari et al. (1994) 给 出 了 该 主题 的 相关 介绍 。 


16.6 小结 


包括 物理 参数 或 者 指定 资源 的 约束 等 在 内 的 定量 属性 对 于 众人 式 系统 而 言 非 常 重要 。 本 
章 阐 述 了 定量 分 析 中 的 相关 基本 概念 。 首 先 ， 我 们 考虑 了 不 同类 型 的 定量 分 析 问 题 ， 包 括 
极端 情况 分 析 、 平 均 情况 分 析 以 及 验证 立 值 属性 。 作 为 代表 性 示例 ， 本 章 聚 焦 于 执行 时 间 分 
析 ， 并 采用 几 个 示例 来 说 明 一 些 主要 问题 ， 包 括 循环 边界 、 路 径 可 行 性 、 路 径 搜 索 和 Cache 
效应 等 。 进 而 ， 阐 述 了 一 个 构成 执行 时 间 分 析 主 体 的 优化 的 形式 化 表示 。 最 后 ， 我 们 简要 地 
讨论 了 其 他 两 个 定量 分 析 问 题 ， 包 括 对 存储 资源 的 使 用 以 及 对 功 耗 或 能 耗 的 边界 进行 计算 。 

定量 分 析 依然 是 研究 中 的 活跃 领域 一 一 尤其 是 在 弥合 戏 入 式 系统 的 信息 和 物理 特性 方面 
所 面临 的 挑战 上 。 


习题 
1. 本 题 是 关于 执行 时 间 分 析 的 ， 请 看 如 下 一 段 C 程序 。 


1 ant arr[100]; 


2 
3 int foo(int flag) { 

4 int i; 

5 int sum = 0; 

6 

7 if (flag) { 

8 for (i=0; i1<100; i++) 
9 arr[i] = i; 

10 } 

11 

12 for (i=0;i<100; i++) 

13 sum += arr[i]; 

14 

15 return sum; 


16 } 


假设 该 程序 运行 在 具有 足够 大 数据 Cache 的 处 理 器 上 ， 该 Cache 可 以 存放 整个 arr 数组 。 

(a) 该 程序 中 foo 函数 共有 多 少 条 路 径 ? 请 给 出 描述 。 

(b) 令 了 表示 程序 中 第 二 个 for 循环 的 执行 时 间 。 执 行 第 一 个 for 循环 对 了 的 值 有 什么 影响 ”请 证 明 
所 给 出 的 答案 。 

2. 给 出 如 下 程序 。 
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void testFn (int +x, int flag) { 
while (flag != 1) { 

flag = 1; 

*x = flag; 


LE («xx > 0) 


1 
2 

3 

4 

5 } 
6 

7 *xX += 2; 
8 


} 
假设 x 不 为 NULL， 请 回答 如 下 问题 。 
(a) 请 画 出 该 程序 的 控制 流 图 ， 并 从 1 开始 对 基本 块 进行 唯一 标号 。 
请 注意 ,我 们 已 经 增加 了 一 个 哑 开 始 结 点 ， 编 号 为 0， 代表 函数 的 入 口 。 为 了 方便 起 见 ， 同 样 也 
引入 一 个 哑 汇 聚 结 点 ,虽然 其 不 是 严格 需要 的 。 
(b) while 循环 的 迭代 次 数 是 否 存在 边界 ?请 证 明 所 给 出 的 答案 。 
(c) 该 程序 共有 多 少 条 路 径 ?” 有 多 少 条 是 可 行 的 ， 为 什么 ? 
(d) 就 本 程序 的 控制 流 图 ， 请 写 出 包括 任何 逻辑 流 约束 的 流 约束 组 。 
(e) 考虑 在 具有 数据 Cache 的 平台 上 连续 运行 该 程序 。 假 设 函 数 开始 时 x 指 向 的 数据 不 在 Cache 中 。 
对 于 访问 *x 的 每 一 个 读 / 写 操作 ， 请 讨论 是 否 将 会 出 现 Cache 命中 或 未 命中 的 情形 。 现 在 ， 假 
设 *x 在 函数 开始 时 就 在 Cache 中 。 请 指出 哪些 基本 块 的 执行 时 间 将 被 所 修改 的 假设 所 影响 。 
3. 考虑 如 下 具有 用 户 标 识 CID) uid 和 用 户 密码 pwd 两 个 参数 (为 了 简单 ， 两 个 参数 都 建 模 为 int 型 ) 
的 函数 check_password。 该 函数 根据 存储 在 数组 中 的 用 户 标 识 列表 和 密码 来 验证 用 户 ， 如 果 密 码 匹 
配 则 返回 1， 否 则 返回 0。 


struct entry { 
int user; 
int pass; 
be 
typedef struct entry entry_t; 


entry_t all_pwds[1000]; 
int check_password(int uid, int pwd) { 
10 int i = 0; 


il int retval = 0; 


13 while(i < 1000) { 


14 if (all_pwds[i].user == uid && all_pwds[i].pass == pwd) { 
15 retval = 1; 

16 break; 

17 } 

18 i++; 

19 } 

20 

21 return retval; 


2 } 


(a) 请 画 出 check_password 函数 的 控制 流 图 ， 并 给 出 控制 流 图 中 的 结 点 (基本 块 ) 数量 。( 请 注意 ， 
每 条 条 件 语句 本 身 就 被 认为 是 一 个 基本 块 。) 
同时 ， 请 给 出 从 入 口 点 到 出 口 点 的 路 径 数量 (忽略 路 径 可 行 性 )。 

(b) 假设 数组 all pwds 是 基于 密码 存储 的 (升序 或 者 降序 )。 在 这 一 问题 中 ,我 们 探索 调用 check _ 
password 的 外 部 用 户 能 否 通过 重复 调用 该 阻 数 并 记录 其 执行 时 间 ， 来 推断 出 任何 关于 存放 在 
all pwds 中 的 密码 的 信息 。 从 “物理 ”信息 中 找 出 保密 的 数据 (如 运行 时 间 ) 被 称 为 旁 路 攻击 
(side-channel attack ) 。 


在 如 下 两 种 情况 中 ， 用 户 可 以 推断 出 关于 all_pwds 中 密码 的 什么 信息 (如 果 有 的 话 ) ? 
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i. 该 用 户 拥有 all_pwds 中 存在 的 (uid,password) 对 。 
ii. 该 用 户 没 有 all pwds 中 存在 的 (uid,password) 对 。 
假设 该 用 户 仅 知道 该 程序 ， 但 不 知道 数组 all pwds 中 的 内 容 。 
4. 请 阅读 如 下 代码 ， 该 代码 实现 了 一 个 非常 简单 的 车 辆 自动 变速 器 系统 的 逻辑 。 该 代码 的 目标 是 基于 
传感器 输入 rpm 的 值 来 设置 current_gear 的 值 。LO_VAL 和 HI_VAL 均 为 常量 ， 其 精确 取 值 与 本 题 
无 关 (可 以 假设 LO_VAL 严格 小 于 HI VAL). 


volatile float rpm; 


1 
2 

3 int current_gear; // 值 的 范围 为 1 到 6 
4 

5 void change gear() { 

6 if (rpm < LO_VAL) 

7 set_gear(-1); 

8 else { 

9 if (rpm > HI_VAL) 

10 set_gear (1); 

11 } 

12 

13 return; 

14 } 


16 void set_gear (int update) { 


17 int new_gear = current_gear + update; 
18 if (new_gear > 6) 

19 new_gear = 6; 

20 if (new_gear < 1) 

21 . new_gear = 1; 

22 

23 current_gear = new_gear; 

24 

25 return; 

26 } 


这 是 一 个 6 速 自动 变速 右 系 统 ， 由 此 ，current_gear 的 取 值 范围 为 1 到 6。 

请 根据 上 述 代 码 回答 以 下 问题 。 

(a) 请 绘制 程序 从 change gear 开始 的 控制 流 图 (CFG)， 无 需 内 联 set_gear HM. MAIL, THY 
调用 和 返回 边 来 绘制 该 控制 流 图 。 
简洁 起 见 ， 无 需 为 控制 流 图 结 点 中 的 基本 块 写 出 代码 ， 只 需要 使 用 上 述 代码 中 的 行 号 来 说 明 哪 
些 状态 进入 哪个 结 点 即 可 。 

(b) 统计 从 set_gear 的 和 人 口 点 到 出 口 点 ( 即 返回 状态 ) 的 执行 路 径 数量 。 对 于 本 题 ， 请 忽略 其 可 行 
性 问题 。 同 时 ， 请 统计 从 change gear 的 入 日 点 到 出 口 点 ( 即 返 回 状态 ) 的 路 径 数 量 ， 包 括 通过 
set_gear 的 路 径 。 请 说 明 每 种 情形 下 路 径 的 数量 。 

(c) 现在 ， 请 考虑 路 径 的 可 行 性 。 如 前 所 述 ，current_gear 的 范围 在 1 至 6 之 间 ， 那 么 ，change_gear 
拥有 多 少 条 可 行 的 路 径 ? 请 证 明 所 得 出 的 答案 。 

(d) 请 给 出 贯穿 整个 change_gear 函数 的 一 条 可 行路 径 的 例子 以 及 一 个 不 可 行路 径 的 例子 。 请 将 每 条 
路 径 描述 为 行 号 的 序列 ， 并 请 忽略 那些 对 应 于 函数 定义 和 返回 状态 的 行 号 。 
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安全 性 与 隐私 性 





安全 性 (security) 与 隐私 性 (privacy) 是 当今 信息 物理 融合 系统 所 面临 的 两 个 最 为 重要 
的 设计 问题 。 从 广义 而 言 ， 安 全 性 即 处 于 被 保护 不 受伤 害 的 状态 ， 隐 私 性 则 是 处 于 防止 被 完 
探 的 状态 。 随 着 内 入 式 系 统 和 信息 物理 融合 系统 之 间 及 其 与 互联 网 之 间 的 联系 日 益 紧 密 ， 解 
决 安全 性 与 隐私 性 问题 现 已 成 为 系统 设计 人 员 的 重要 任务 。 

正式 地 讲 ， 可 以 从 两 个 主要 方面 将 安全 性 和 隐私 性 与 其 他 设计 标准 进行 区 别 。 首 先 ， 认 
为 系统 的 运行 环境 在 本 质 上 较 一 般 系统 设计 中 的 更 具 对 抗 性 。 其 次 ， 指 定期 望 行为 和 不 期 望 
行为 的 属性 类 型 也 与 传统 的 系统 规格 有 所 不 同 (通常 要 对 传统 的 属性 增加 额外 的 要 求 )。 下 
面 我 们 依次 来 考虑 这 些 方面 。 

WA (attacker) 和 对 手 (adversary) 是 安全 性 和 隐私 性 相关 理论 与 实践 的 核心 概念 。 
攻击 者 是 一 个 恶意 对 象 ， 其 目标 是 以 某 种 方式 破坏 系统 的 运行 。 具 体 的 破坏 方式 取决 于 系 
统 的 特性 、 其 目标 与 需求 以 及 攻击 者 的 能 力 。 通 常 ， 这 些 特性 被 组 合 为 一 个 称 为 威胁 模型 
(threat model) 或 攻击 者 模型 的 实体 。 例 如 ， 当 设计 一 辆 没有 无 线 网 络 连接 的 汽车 时 ， 设 计 
人 员 可 以 假设 威胁 仅 来 自 于 实际 接近 汽车 且 了 解 汽车 组 件 的 人 ， 如 经 过 良好 训练 的 技工 。 将 
一 个 非 形式 化 的 威胁 模型 (如 前 一 句 ) 转换 为 攻击 者 目标 的 精确 数学 描述 是 一 项 极 具 挑战 性 
的 任务 , 但 原则 上 这 对 基于 模型 的 安全 髋 入 式 系 统 设计 是 必要 的 。 

安全 性 与 隐私 性 范畴 的 第 二 个 典型 特性 是 它 所 关注 的 独特 属性 。 一 般 来 讲 ， 这 些 属性 
可 以 被 分 为 以 下 类 型 : 保密 性 、 完 整 性 、 真 实 性 和 可 用 性 。 保密 性 (confidentiality) 即 对 
攻击 者 保密 的 状态 。 一 个 很 好 的 保密 数据 示例 是 用 于 访问 银行 账户 的 密码 或 PIN?。 完 整 性 
(integrity) 即 防止 被 攻击 者 修改 的 状态 。 一 个 完整 性 例子 是 攻击 者 没有 获得 访问 银行 账户 的 
授权 ， 就 不 能 修改 账户 中 的 内 容 。 真 实 性 (authenticity) 即 在 一 定 保证 级 别 上 确定 正在 通信 
或 交互 的 对 象 身份 的 状态 。 例 如 ， 当 用 户 连接 到 声称 是 某 银 行 的 网 站 时 ， 肯 定 和 希望 这 确实 就 
是 该 银行 的 网 站 而 不 是 某 个 恶意 网 站 。 证 明 真 实 性 的 过 程 被 称 为 认证 (authentication). fiz 
后 ， 可 用 性 (availability) 是 系统 为 其 用 户 提供 足够 服务 质量 的 属性 。 例 如 ， 用 户 可 能 希望 
其 银行 的 网 站 在 99% 的 时 间 都 是 可 用 的 。 

值得 注意 的 是 ， 安 全 性 和 隐私 性 并 非 绝 对 属性 。 请 不 要 相信 任何 声称 其 系统 “完全 安 
全 ”的 人 ! 实际 上 ， 仅 在 针对 特定 威胁 模型 和 特定 属性 集 时 安全 性 和 隐私 性 才能 得 到 保证 。 
作为 系统 设计 人 员 ， 如 果 安 全 性 和 隐私 性 是 需要 关注 的 重要 问题 ， 那 么 就 必须 首先 定义 相应 
的 威胁 模型 并 形式 化 属性 。 否 则 ， 所 采用 的 任何 解决 方案 本 质 上 都 是 没有 意义 的 。 

本 章 力图 使 读者 对 信息 物理 融合 系统 设计 相关 的 安全 性 和 隐私 性 概念 有 一 个 基本 的 理 
解 。 安 全 性 与 隐私 性 领域 非常 广阔 ， 无 法 在 一 章 中 进行 综合 阐述 ， 在 此 向 感 兴趣 的 读者 推 
荐 一 些 关 于 该 主题 的 优秀 书籍 ， 如 (Goodrich and Tamassia, 2011 ; Smith and Marchesini, 
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2007). FA, 我们 的 目标 更 为 集中 : 介绍 一 些 重要 的 基本 概念 ， 并 强调 针对 艇 入 式 、 信 息 
物理 融合 系统 或 与 之 相关 的 一 些 主题 。 


17.1 密码 学 原 语 


密码 学 是 安全 性 与 隐私 性 的 基石 之 一 “密码 学 ”( cryptography ) 一 词 源 于 拉丁 语词 根 
“crypt”(krypt6s， 意 为 隐藏 的 、 秘 密 的 ) 和 “ graphia”( griphein， 意 为 书写 )， 由 此 ， 其 字 
面 意思 是 “秘密 书写 的 研究 ”。 

本 节 从 阐述 用 于 加 密 和 解密 、 安 全 散 列 及 认证 的 密码 学 原 语 ( cryptographic primitive) 
开始 ， 并 强调 与 嵌入 式 和 信息 物理 融合 系统 设计 与 分 析 特 别 相关 的 问题 。 需 要 提醒 读者 的 
是 ,本 章 给 出 的 例子 (尤其 是 列 出 的 代码 ) 都 是 高 度 抽象 的 ， 同 时 省 略 了 对 开发 安全 密码 
实现 至 关 重 要 的 细节 。 更 多 、 更 深入 的 内 容 请 参阅 其 他 文献 和 书籍 (Menezes et al., 1996 ; 
Ferguson et al., 2010). 


17.1.1 加密 与 解密 


mE (encryption) 就 是 将 一 段 信息 翻译 为 一 个 编码 形式 ， 其 意图 是 使 对 手 不 能 从 后 者 
中 恢复 出 前 者 。 原 有 消息 通常 被 称 为 明文 ( plaintext)， 其 加 密 形式 被 称 为 密 文 (ciphertext)。 
解密 (decryption) 是 从 密 文 中 恢复 明文 的 过 程 。 

典型 的 加 密 方 法 依赖 于 一 个 称 为 密 钥 (key) 的 保密 对 象 。 一 个 加 密 算法 以 规定 的 方式 
使 用 密 钥 和 明文 来 得 到 密 文 。 将 要 进行 信息 安全 交换 的 参与 方 之 间 共 享 密 钥 。 根 据 共享 的 
模式 ， 加 密 被 分 为 两 大 类 。 对称 密 钥 加 密 ( symmetric-key cryptography) 中 密 钥 是 收 、 发 
双方 共同 知晓 的 一 个 对 象 。 而 公开 密 钥 加 密 ( public-key cryptography)， 也 称 为 非 对 称 加 密 
(asymmetric cryptography) 中 ， 将 密码 分 成 两 部 分 : 一 个 公开 部 分 和 一 个 私有 部 分 ， 公 和 钠 
(public key) 是 众人 所 知 (包括 对 手 )， 而 私 钥 (private key) 则 仅 接 收 者 知晓 。 在 本 节 后 面 ， 
我 们 将 对 这 两 种 加 密 方法 进行 简要 介绍 。 

密码 学 的 基本 原则 之 一 是 柯 克 霍 夫 2 原则 ( Kerckhoff’s principle)， 其 指出 : 即使 一 个 密 
码 系统 (算法) 除 密 钥 之 外 的 所 有 信息 都 是 公开 的 ， 该 密码 系统 (算法 ) 也 是 安全 的 。 实 际 
上 上， 这 表示 即使 对 手 知道 了 密码 算法 设计 和 实现 的 所 有 细节 ， 只 要 其 不 知道 密 钥 ,就 不 能 从 
密 文中 恢复 出 明文 。 

1. 对 称 密 钥 加 密 

假设 Alice 和 Bob 是 即将 进行 安全 通信 的 通信 双方 。 在 对 称 密 钥 加 密 中 ， 他 们 使 用 一 
个 共享 的 密 钥 天 来 实现 这 一 过 程 。 假 设 Alice 希望 向 Bob 加 密 传 送 一 个 nn 位 的 明文 消息 ， 
M=m, m,m; m, E {0, 1}”。 我 们 希望 有 这 样 一 个 加 密 机 制 ， 给 定 一 个 共享 密 钥 KK 时， 该 机 制 
使 用 如 下 两 条 属性 将 M 编码 为 密 文 C。 第 一 ， 期 望 的 接收 者 Bob 应 该 可 以 从 C 中 容易 地 恢 
复出 M。 第 二 ,不 知道 天 的 任何 对 手 都 不 能 通过 观察 C 而 获取 关于 M 的 更 多 信息 。 

我 们 使 用 一 个 简单 且 理想 的 机 制 ， 称 为 单 次 密 本 (one-time pad， 或 一 次 一 密 随 机 数 本 )， 
来 直观 地 说 明 对 称 密 钥 加 密 的 运行 过 程 。 在 该 机 制 中 ,通信 双方 Alice 和 Bob 共享 了 一 个 n 
位 的 密 钥 K=k, kkk, © {0, 1， 其 中 ,这 位 都 是 随机 、 独 立 选 取 的 。K 就 是 单 次 密 本 。 


© Auguste Kerckhoffs ( 1835 一 1903 )， 和 荷兰 语言 学 家 、 密 码 学 家 ， 法 国 巴 黎 高 等 商业 研究 学 院 语 言 学 教 
授 。 译 者 注 
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re K, X M 和 的 按 位 异 或 (XOR) 进行 加 密 ， 即 C=M @K， 其 中 @ 表 示 XOR。 之 
后 ，Alice 将 C 发 送 给 Bob, Bob 则 通过 对 C 和 天 的 按 位 异 或 操作 实现 对 C 的 解密 ， 这 使 用 
T XOR 操作 的 属性 ， 即 C® K=M, 

假设 对 手 Eve 观察 到 C。 我 们 声明 Eve 并 不 比 她 没有 观察 到 C 时 掌握 更 多 关于 M 或 K 
的 信息 。 为 了 理解 这 一 点 ， 先 来 准备 一 个 明文 消息 M。 之 后 ， 每 个 唯一 的 密 文 E {0, 1}” 
可 由 M 和 唯一 选取 的 相应 密 钥 天 而 获得 一 一 简单 地 ， 设 置 K=C @ M,C 是 期 望 的 密 文 。 换 
名 话说 ， 由 随机 位 串 天 E {0, 1}" 生成 一 个 一 致 的 随机 密 文 C E {0, 1》。 由 此 ， 面 对 这 样 的 
一 个 密 文 ，Eve 所 能 做 的 事情 也 就 只 有 随机 猜测 一 致 的 及 值 了 。 

HER, Alice 只 能 使 用 该 密 钥 开 一 次 ! 我 们 来 看 一 下 当 她 两 次 使 用 该 密 钥 时 会 发 生 什 
Ao Eve 得 到 了 两 个 密 文 C=M © K Ail CEM, K., 如果 Eve 计算 C OC, HEF XOR 的 属 
性 ， 她 将 可 以 得 到 M, @ M,。 由 此 ，Eve 就 获得 了 这 些 消息 中 的 部 分 信息 。 有 具体 而 言 ， 如 果 
Eve 碰巧 知道 其 中 一 条 消息 ,那么 她 将 解 算 出 另外 一 条 ， 同 时 也 就 能 恢复 出 密 钥 玉 。 显 然 ， 
如 果 相 同 的 密 钥 在 通信 中 被 多 次 使 用 ， 该 机 制 就 不 安全 了 ， 从 而 将 这 种 密 钥 命名 为 单 次 密 
本 。 幸 运 的 是 ， 还 存在 更 强 的 对 称 密 钥 加 密 机 制 。 

最 常见 的 对 称 密 钥 加 密 方 法 使 用 了 称 为 分 组 密码 (block cipher) 的 一 个 构造 分 组 。 分 组 
密码 是 一 个 加 密 算法 ， 其 使 用 大 位 密 钥 大将 元 位 明文 消息 M 转换 为 n 位 密 文 C。 基 于 加 密 
PARK E : {0, 1} x {0, 1}"— {0, 1}” 可 以 给 出 该 方法 的 数学 描述 ， 即 E(K, M)=C。 对 于 一 个 固 
定 的 密 钥 K， 由 ExM)=E(K, M) 定义 的 函数 Ex 必须 是 从 {0, 1}" 到 {0, 1}" 的 一 个 置换 。 解 
密 是 加 密 的 逆 函 数 。 请 注意 ， 因 为 Ex 是 可 北 的 ， 所 以 每 个 K 都 存在 一 个 逆 。 我 们 用 Dx=Ex 
来 表示 Ex 对 应 的 解密 函数 。 为 了 简单 起 见 ， 这 个 加 密 模 型 ( 仅 ) 将 其 抽象 为 一 个 消息 和 密 
钥 的 函数 ， 而 在 实际 中 ， 必 须 小 心地 使 用 合适 的 分 组 密码 模式 ， 如 其 并 不 总 是 将 同一 个 明文 
加 密 为 相同 的 密 文 。 

一 个 经 典 的 分 组 密码 是 数据 加 密 标 准 ( Data Encryption Standard, DES). DES 出 现 于 
20 世纪 70 年 代 中 期 ， 是 第 一 个 基于 现代 密码 技术 的 分 组 密码 ， 其 具有 一 个 开放 的 规范 且 
通常 被 认为 是 “商用 级 ”。 虽 然 DES 的 细节 已 经 超出 本 章 的 范围 ， 但 要 说 明 的 是 ，DES 的 
很 多 版 本 仍 被 用 于 某 些 嵌入 式 系统 。 例 如 ，3DES 会 使 用 DES 对 一 个 分 组 加 密 三 次 ， 该 方 
法 被 广泛 用 于 全 世界 范围 的 某 些 “ 芯 片 密码 系统 ”( chip and PIN) 支付 卡 。DES 的 基础 版 本 
使 用 了 56 位 的 密 钥 ， 并 在 64 位 的 信息 分 组 上 进行 操作 。 虽 然 DES 最 初 提供 了 可 接受 的 安 
全 级 别 ， 但 至 20 世纪 90 年 代 中 期 ,使 用 “ 蛮 力 ”9 方法 来 破解 该 算法 变 得 越 来 越 容 易 。 因 
此 ,在 2001 年 ,美国 国家 标准 与 技术 研究 院 (NIST) 又 推出 了 一 套 新 的 密码 标准 体系 ， 称 
为 高 级 加 密 标准 (Advanced Encryption Standard，AES)。 该 标准 基于 比利时 两 位 学 者 Joan 
Daemen 和 Vincent Rijmen 所 提出 的 Rijndael 加 密 机 制 。 AES 采用 了 长 度 为 128 位 的 消息 块 ， 
以 及 128、192 和 256 位 三 种 不 同 的 密 钥 长 度 。 自 被 采用 以 来 ， AES 已 经 被 证 明 是 一 个 强大 
的 密码 算法 ,可 以 在 硬件 和 软件 中 高 效 实现 。 据 估计 ， 当 前 最 快 的 超级 计算 机 也 无 法 在 太阳 
系 的 预计 寿命 内 成 功 地 对 AES 进行 蛮 力 攻击 。 

2. 公开 密 钥 加 密 

为 了 使 用 对 称 密 钥 加 密 ，Alice 和 Bob 需要 提前 设置 一 个 共享 的 密 钥 。 但 这 并 非 总 是 那 
么 易于 处 理 。 为 此 ， 就 设计 了 公开 密 钥 加 密 (简称 为 公 钥 加 密 ) 来 解决 这 个 问题 。 





日 brute-force， 也 称 暴 力 。 一 一 译 者 注 
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在 公开 密 钥 加 密 系 统 中 ， 每 位 当事人 (Alice 和 Bob 等) 都 拥有 两 个 密 钥 : 一 个 公开 的 
公 钥 ， 以 及 仅 当 事 人 知道 的 一 个 私 钥 。 当 Alice 想 要 向 Bob 发 送 一 个 秘密 消息 时 ， 她 获取 
Bob 的 公 钥 Ks 并 加 密 她 的 消息 。 当 Bob 接收 到 该 消息 时 ， 他 使 用 自己 的 私 钥 解密 消息 。 
换 句 话说 ， 基 于 Ks 的 加 密 函 数 对 于 基于 的 解密 函数 必须 是 可 道 的， 而 且 对 于 没有 的 
函数 必须 不 可 逆 。 

我 们 来 看 最 后 一 点 。 使 用 公 钥 的 加 密 必须 是 一 个 单 向 函数 ( one-way function): 一 个 公 
FFG AAS PR, HRADIA FCM),， 但 在 没有 匹配 的 秘密 数据 ( 私 钥 ) 信息 时 (几乎 ) 是 
不 可 逆转 的 。 值 得 注意 的 是 ， 目 前 已 经 有 很 多 可 用 的 公开 密 钥 加 密 机 制 ， 每 一 个 都 是 基于 数 
学 、 算 法 设计 以 及 实现 技巧 的 巧妙 结合 。 这 里 我 们 关注 1978 年 提出 的 RSA 算法 ， 其 以 创建 
者 Rivest、Shamir 和 Adleman“ 的 名 字 首 字母 命名 。 为 了 简洁 地 进行 说 明 ， 我 们 的 讨论 主要 
聚焦 于 RSA 算法 背后 的 基础 数学 概念 。 

考虑 Bob 想 要 创建 他 的 公 - 私密 钥 对 以 便于 其 他 人 向 他 发 送 加 密 消息 的 情形 。RSA 方 
案 包括 三 个 主要 步 又， 具体 如 下 。 

1) BALM: 选择 两 个 大 素数 p 和 gq 并 计算 它们 的 乘积 n=pqs Zik oln), o 是 欧 
拉 函 数 ( Euler's totient function)。 该 函数 求 出 小 于 或 等 于 n 的 正 整 数 中 与 n 互 质 的 数 的 数 
量 。 对 于 特定 素数 积 p(UD)=(p-1)(g-D) 的 情况 ， 选 择 一 个 随机 整数 e，1<e<g(n)， 使 得 e 和 
oln) 的 最 大 公约 数 GCD(e, p(n)) 等 于 1°. ZRH d, 1<d<e(n), 4 ed = 1(mod y(n))。 Æ 
此 ， 密 钥 生 成 过 程 结束 。Bob 的 公 钥 Ks (n,e) 对 ， 私 钥 是 kdo 

2) me: 当 Alice 要 向 Bob 发 送 消息 时 ， 她 首先 获取 Bob 的 公 钥 Ks=(n, e)。 假 设 要 发 
送 的 消息 为 M， 她 用 C=M(mod n) REX C, HH C 发 送 给 Bob。 

3) AEB: 在 收 到 CZAR, Bob 计算 C"(mod 门 。 依 据 欧 拉 函数 和 模 运算 的 属性 ， 该 结果 
与 M 相 等， 这 就 允许 Bob 从 接收 的 消息 中 恢复 出 明文 。 

对 于 以 上 方法 我 们 给 出 两 点 认识 。 第 一 ，RSA 不 同步 又 的 操作 大 量 使 用 了 大 数 上 的 非 
线性 运算 ,特别 是 大 整数 的 模 乘 法 以 及 模 窜 运算 。 为 了 有 效 地 运行 ， 必 须 慎重 地 实现 这 些 运 
算 ， 尤 其 是 在 内 入 式 平台 上 。 例 如 ， 模 寡 运 算 通常 使 用 第 16 章 示例 16.1 中 提 及 的 某 种 平方 
乘 方法 。 第 二 ， 该 方法 的 效果 极 大 地 依赖 于 存储 和 维护 公 钥 的 基础 设施 。 没 有 这 样 一 个 公 钥 
基础 设施 ( public-key infrastructure)， 攻 击 者 Eve 就 可 以 伪装 成 Bob， 并 将 她 的 公 钥 发 布 为 
Bob 的 ， 从 而 欺骗 Alice 将 本 要 发 送 给 Bob 的 消息 发 送 给 她 。 虽 然 现 在 已 经 使 用 所 谓 的 “ 认 
证 中 心 ”为 互联 网 上 的 服务 器 建立 了 这 样 的 一 个 公 钥 基础 设施 ， 但 是 由 于 种 种 原因 ， 要 将 该 
方法 扩展 到 网 络 化 髋 入 式 系统 还 具有 很 多 挑战 ， 如 存在 大 量 可 以 作为 服务 器 的 设备 、 网 络 的 
ad-hoc 特性 以 及 很 多 嵌入 式 系统 中 的 资源 约束 。8 鉴于 这 一 原因 ， 公 开 密 钥 加 密 在 能 人 式 设 
备 中 的 应 用 并 不 像 对 称 密 钥 加 密 那样 广泛 。 


© Ronald Linn Rivest， 美 国 密码 学 家 ， 麻 省 理工 学 院 电 气 工 程 与 计算 机 科学 系 教授 ; Adi Shamir， 以 色 列 密码 
学 家 ; Leonard Max Adleman, 美国 理论 计算 机 科学 家 以 及 南 加 州 大 学 计算 机 科学 和 分 子 生物 学 教授 .2002 年 ， 
三 人 因 在 公 钥 密码 学 RSA 加 密 算法 中 做 出 的 杰出 贡献 而 获得 图 灵 奖 。 一 一 译 者 注 

Ə We Ml y(n) ik, 一 一 译 者 注 

© Lets Encrypt 是 一 个 正在 不 断 努 力 开发 的 免费 、 自 动 化 、 开 放 式 授权 中 心 ， 其 可 能 会 减弱 这 些 挑战 。 详 细 信 
息 请 参见 https:Wletsencrypt.org/。 
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密码 学 的 实施 问题 

嵌入 式 平台 通常 是 资源 有 限 的 ， 如 存储 和 能 量 ， 而且 必须 满足 如 实时 行为 等 物理 约 
束 。 密 码 学 相关 的 计算 要 求 可 能 非常 苛刻 。 因 为 秘密 数据 必须 在 被 发 送 到 网 络 之 前 在 端 
设备 进行 加 密 ， 所 以 这 些 计算 并 不 能 被 简单 地 转移 到 云端 。 因 此 ， 密 码 学 原 语 必须 要 以 
遵从 嵌入 式 平台 约束 的 方式 实现 。 

举例 说 明 ， 我 们 来 看 一 下 公 钥 加 密 。 这 些 原 语 包含 可 能 需要 大 量 时 间 、 存 储 和 能 量 
的 模 圭 及 乘法 运算 。 因 此 ， 研 究 人 员 已 经 开发 出 高 效 的 算法 以 及 软 硬 件 实现 。 一 个 优秀 
的 例子 是 蒙哥马利 乘法 (Montgomery multiplication) (Montgomery，1985 )， 其 巧妙 之 处 
在 于 运用 加 法 替代 了 模 笑 运 算 中 的 除法 ( 隐 含 在 模 数 计算 中 )。 另 一 个 前 景 不 错 的 技术 是 
椭圆 曲线 加 密 ( elliptic curve cryptography)， 其 允许 一 个 与 RSA 方法 相 比 密 钥 位 宽 更 小 
的 相同 安全 级 别 , 减少 了 实现 对 内 存 的 占用 ,更 多 细节 可 参考 Paar and Pelzl (2009 )。 
鉴于 公 钥 的 加 密 开 销 ， 其 通常 被 用 于 交换 后 续 所 有 通信 中 使 用 的 共享 对 称 密 钥 。 

实现 加 密 机 制 的 另 一 个 重要 方面 是 随机 数 生 成 (Random Number Generation, RNG) 
的 设计 和 使 用 。 高 质量 的 随机 数 生 成 要 求 输入 一 个 高 业 的 随机 源 。 可 以 推荐 的 高 箭 源 有 
很 多 ， 包 括 物 理 过 程 ， 如 大 气 嗓 声 或 原子 衰变 等 ,但 是 这 些 方法 很 难 在 衣 入 式 系统 中 使 
用 ,特别 是 在 硬件 实现 中 。 作 为 兰 代 ， 可 以 使 用 片上 热 噪声 、 网 络 事件 和 物理 世界 输入 
事件 的 时 间 属 性 等 。 轮 询 物理 世界 中 这 些 随 机 源 可 能 会 消耗 更 多 电量 ， 从 而 引起 实现 中 
的 权衡 ，Perrig et al. (2002) 给 出 了 一 个 示例 。 





17.1.2 数字 签名 与 安全 散 列 函数 


用 于 加 密 和 解密 的 密码 学 原 语 有 助 于 支持 数据 的 保密 性 ， 然 而 ， 其 本 身 不 非 是 设计 来 提 
完整 性 和 真实 性 保证 的 。 这 些 属性 需要 使 用 相关 但 不 同 的 原 语 : 数字 签名 、 安 全 散 列 函数 
以 及 消息 认证 码 (MAC)。 本 节 将 简要 阐述 这 些 原 语 。 
1. 安全 散 列 函数 
安全 散 列 函数 (也 称 为 密码 散 列 函数 ) 是 一 个 确定 性 的 无 密 钥 函数 娓 : {0, 1 一 {0, 1}, 
其 将 nn 位 的 消息 映射 到 大 位 的 散 列 值 。 通 常 ，n 可 以 任意 大 ( 即 消 息 可 以 是 任意 长 度 )， 而 上 
则 是 一 个 相对 较 小 的 固定 值 。 例 如 ，SHA-256 就 是 一 个 将 消息 映射 到 .256 位 散 列 值 的 安全 
散 列 函数 ,已 经 被 用 于 一 些 软 件 包 的 授权 以 及 散 列 处 理 一 些 Linux 发 行 版 本 中 的 密码 。 对 于 
一 个 消息 M， 我 们 称 HM) 为 “M 的 散 列 ”。 
安全 散 列 函数 刀具 有 一 些 重要 的 属性 ， 可 以 将 其 与 用 于 非 安全 目的 的 传统 散 列 函 数 区 
别 开 来 。 
e 高 效 计 算 性 : 给 定 一 个 消息 M， 可 高 效 地 计算 出 HM). 
o 抗原 像 性 : 对 于 一 个 散 列 〈 值 ) 4&， 计 算 上 不 能 找到 一 个 消息 M， 使 得 h=H(M)。 
日 抗 第 二 原 像 性 : 给 定 一 个 消息 Mi， 计 算 上 不 能 找到 另 一 个 消息 Ma， 使 得 
EN)=EC)。 这 条 属性 防止 攻击 者 采用 一 个 已 知 的 消息 M, 并 修改 该 消息 以 匹配 一 
个 期 望 的 散 列 值 (从 而 找 出 相应 的 消息 M, )。 
e 抗 碰撞 性 : 计算 上 不 能 找到 两 条 不 同 的 消息 M, MM, 使 得 H(M1)=H(M;)。 这 条 属性 
是 抗 第 二 原 像 性 的 强化 版 本 ， 防 止 攻击 者 获取 任何 起 始 消息 并 修改 该 消息 以 匹配 一 
个 给 定 的 散 列 值 。 
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安全 散 列 函数 的 一 个 基本 应 用 就 是 验证 消息 或 一 段 数据 的 完整 性 。 例 如 ， 在 计算 机 上 安 
装 一 个 软件 更 新 之 前 ， 用 户 可 能 希望 验证 所 下 载 的 更 新 是 否 为 一 个 有 效 的 软件 包 且 没有 被 攻 
击 者 做 过 任何 修改 。 在 软件 更 新 包 之 外 单独 地 提供 其 安全 散 列 可 以 提供 这 样 的 保证 。 在 独立 
地 下 载 该 散 列 值 之 后 ， 用 户 可 以 自行 用 软件 来 计算 更 新 包 的 散 列 值 ， 进 而 验证 所 提供 的 散 列 
值 是 否 的 确 与 所 计算 的 散 列 值 相 一 致 。 随 着 嵌入 式 系统 日 益 网 络 化 以 及 从 网 络 接收 软件 补丁 
包 的 趋势 ， 安 全 散 列 函数 被 期 望 作为 所 有 保持 系统 完整 性 的 解决 方案 中 的 核心 组 件 。 

2. 数字 签名 

数字 签名 (digital signature) 是 一 个 基于 公 钥 加 密 的 加 密 机 制 ， 用 于 数字 文档 (消息) 的 
作者 向 第 三 方 证 明 他 的 身份 并 保证 文档 的 完整 性 。 数 字 签 名 的 使 用 包括 如 下 三 个 阶段 : 

1) 密 钥 生成 : 这 一 步 与 公 钥 加 密 的 密 钥 生成 阶段 相同 ， 生 成 一 个 公 钥 - 私 钥 对 。 

2) 签名 : 在 这 一 步 ， 作 者 / 消息 发 送 方 对 将 要 发 送 到 接收 方 的 文档 进行 数字 签名 。 

3 ) 验证 : 接收 已 签名 文档 的 用 户 使 用 数字 签名 来 验证 文档 的 发 送 者 是 否 的 确 是 所 声称 
的 发 送 者 。 

现在 ， 我 们 来 说 明 该 基本 方法 如 何 运 行 于 RSA 密码 系统 。 假 设 Bob 希望 对 消息 M 进行 
数字 签名 ， 之 后 发 送 给 Alice。 回 顾 17.1.1 节 ，Bob 可 以 使 用 RSA 生成 他 的 公 钥 Ks=(n, e) 
以 及 私 钥 kg=d. XIF Bob 而 言 ， 一 个 简单 的 认证 机 制 是 逆向 使 用 他 的 密 钥 对 : 要 对 M 签名 ， 
他 用 他 的 私 钥 对 消息 进行 简单 加 密 ， 即 计算 S=M4(mod n)， 并 将 § 和 MM 一 起 发 送 给 Alice。 
Alice 收 到 这 条 签名 的 消息 后 ， 用 Ky 从 签名 5 中 恢复 M 并 通过 将 其 与 所 接收 的 消息 进行 比 
对 以 实现 验证 。 如 果 它 们 是 匹配 的 ， 该 消息 就 被 认证 ; AM, Alice 就 会 检测 到 该 消息 或 者 
其 签名 已 经 被 算 改 。 i 

上 述 机 制 虽然 简单 ， 但 存在 不 足 。 有 具体 来 讲 就 是 ， 为 消息 M AM, 分 别 给 定 签名 S 和 
S ， 请 注意 ， 攻 击 者 可 以 通过 将 S, 和 S (mod n) 相 乘 来 简单 地 构造 出 消息 M, M, 的 签名 。 
为 了 防止 该 类 攻击 ， 可 以 先 计算 M, 和 M 的 一 个 安全 散 列 ， 然 后 在 所 得 到 的 散 列 上 而 不 是 
消息 上 计算 出 签名 。 

3. 消息 认证 码 

消息 认证 码 (Message Authentication Code, MAC) 是 一 种 基于 对 称 密 钥 加 密 的 密码 机 
制 ， 用 于 为 文档 提供 完整 性 和 真实 性 保证 。 可 以 说 ， 它 就 是 数字 签名 的 对 称 密 钥 模 拟 。 与 在 
其 他 对 称 密 钥 机 制 中 一 样 ， 消 息 认 证 码 的 使 用 首先 要 求 在 发 送 者 和 接收 者 之 间 设 置 一 个 共享 
密 钥 ， 使 用 该 密 钥 他 们 就 可 以 认证 另 一 方 发 送 的 消息 。 鉴 于 该 原因 ， 消 息 认 证 码 适合 于 容易 
设置 共享 密 钥 的 场合 。 例 如 ， 现 代 化 的 汽车 系统 中 包含 了 多 个 基于 板 载 网 络 (如 控制 器 区 域 
网 络 总 线 ， 即 CAN 总 线 ) 互相 通信 的 电子 控制 单元 (ECU )。 在 这 种 情况 下 ， 如 果 每 个 ECU 
被 预 编 程 了 一 个 公 钥 ， 那 么 每 个 ECU 就 可 以 使 用 消息 认证 码 对 其 他 ECU 通过 CAN 总 线 发 
来 的 消息 进行 认证 。 


17.2 协议 与 网 络 安全 性 


攻击 者 通常 通过 网 络 连接 或 者 连接 其 他 组 件 的 某 种 介质 来 获得 对 系统 的 访问 。 另 外 ， 越 
来 越 多 的 甬 入 式 系统 包括 多 个 基于 网 络 连接 的 分 布 式 组 件 。 因 此 ， 必 须 弄 清楚 关于 网 络 上 以 
及 所 使 用 各 种 通信 协议 的 安全 性 的 基本 问题 ， 该 领域 的 术语 是 协议 安全 性 (protocol security) 
或 者 网 络 安全 性 (network security)。 本 节 将 曾 述 与 媒人 人 式 系统 特别 相关 的 两 个 主题 中 的 基 
本 概念 : 密 钥 交换 和 加 密 协 议 设计 
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17.2.1 密 钥 交换 

我 们 已 经 看 到 密 钥 对 于 对 称 和 非 对 称 密码 体系 是 非常 关键 的 组 件 。 起初， 这 些 密 钥 是 怎 
么 建立 的 ? 在 对 称 密码 体系 中 ， 需 要 一 个 机 制 让 通信 双方 商定 一 个 共享 的 密 钥 。 而 在 非 对 称 
密码 体系 中 ， 需 要 一 个 基础 设施 来 建立 和 维护 公 钥 ， 从 而 使 得 网 络 上 的 任何 一 方 都 能 够 查找 
其 所 希望 发 起 通信 的 另 一 方 的 公 钥 。 本 节 将 聚焦 于 对 称 密码 体系 ， 讨 论 密 钥 交换 的 一 个 经 典 
方法 以 及 一 些 面 向 特定 嵌入 式 系 统 设计 问题 所 定制 的 可 选 机 制 。 

1. Diffie-Hellman 密 钥 交换 

1976 年 ， 美 国 密码 学 家 Whitfield Diffie 和 Martin Hellman “共同 创建 了 公认 的 第 一 个 公 
钥 密 码 体系 。 该 体系 的 关键 在 于 一 个 巧妙 的 设计 ， 使 得 通信 双方 可 以 通过 公共 通信 介质 基于 
一 个 共享 密 钥 进行 协商 。 这 个 方法 通常 被 称 为 迪 菲 - ZR (Diffie-Hellman) 密 钥 交 换 。 

假设 有 两 个 通信 方 Alice 和 Bob 希望 商定 一 个 密 钥 。Alice 发 给 Bob 的 任何 信息 (反之 
亦 然 ) 均 可 能 被 攻击 者 Eve 得 到 。Alice 和 Bob 希望 商定 一 个 密 钥 ， 同 时 要 确保 Eve 不 能 通 
过 观察 他 们 的 通信 计算 出 这 个 密 钥 。 那 么 ，Alice 和 Bob 如 何 使 用 迪 菲 - 赫 尔 曼 密 钥 交 换 来 
达到 这 一 目标 呢 ? 

开始 时 ，Alice 和 Bob 需要 商定 两 个 参数 。 在 此 过 程 中 他 们 可 以 使 用 不 同 的 方法 ,包括 
硬 编码 方法 (例如 ， 将 参数 硬 编码 到 他 们 所 使 用 的 相同 程序 中 ) 或 者 他 们 中 的 一 人 可 以 以 某 
个 确定 的 方式 将 这 些 参 数 发 布 给 另 一 个 人 【例如 ， 基 于 它们 网 络 地 址 之 间 的 固定 排序 )。 第 
一 个 参数 是 一 个 极 大 的 素数 p， 第 二 个 是 一 个 数 z ( 1<z<p-1 )。 请 注意 ,攻击 者 可 以 看 到 = 
和 p。 
在 商定 参数 z 和 pp 之 后 ，Alice 从 集合 {0, 1, =, p-2} 中 随机 选择 一 个 数 a 并 使 其 保 
密 。 类 似 地 ，Bob 也 随机 选择 一 个 数 b E {0, 1, …, p—2} 并 使 其 保密 。Alice 计算 出 一 个 量 
A=z"(mod p) 并 将 其 发 送 给 Bob。 同 样 ，Bob 计算 B=z mod p) 并 将 其 发 送 给 Alices IRT z 
和 p， 攻 击 者 Eve 可 以 看 到 4 和 B, 但 看 不 到 a 和 4。 

收 到 B 之 后 ，Alice 使 用 她 的 密 数 a 来 计算 B"(mod p)。Bob 执行 类 似 的 步 又， 计算 
A"(mod p)。 现在， 可 以 得 到 如 下 关系 。 

A*(mod p) = z”(mod p) = B’(mod p) 

从 而 ， 令 人 惊讶 地 ，Alice 和 Bob 仅 通过 公共 信道 上 的 通信 就 建立 了 一 个 共享 密 钥 
K=2"(mod p)。 请 注意 ， 他 们 没有 将 密 数 a Mb 透露 给 攻击 者 Eve。 没 有 获得 a 和 4 的 信息 ， 
Eve 就 不 能 可 靠 地 计算 出 K。 另 外 ， 对 于 Eve 而 言 ， 仅 通过 获得 z、p、4 或 B 来 计算 a 或 者 
b 是 非常 困难 的 ， 因 为 这 实际 上 是 一 个 离散 对 数 ( discrete logarithm) 问题 ， 针 对 该 问题 还 没 
有 已 知 有 效 的 (多 项 式 时 间 ) 算法 。 换 名 话说， 函数 fo)=z(mod p) 是 一 个 单 向 函数 。 

迪 菲 - 赫 尔 曼 密 钥 交 换 是 简单 、 周 密 旦 有效 的 ， 但 不 幸运 的 是 ， 这 个 方法 对 于 资源 受 
限 的 柑 入 式 系 统 而 言 通常 是 不 现实 的 。 其 计算 包括 了 大 素数 (典型 的 密 钥 大 小 可 达 2048 位 ) 
的 模 徊 运算 ,这 对 于 必须 遵守 实时 约束 的 能 量 受 限 平台 而 言 是 不 切实 际 的 。 因 此 ， 接 下 来 我 
们 要 讨论 一 些 作为 奉 代 的 机 制 。 

2. 定时 密 钥 发 布 

许多 网 络 化 嵌入 式 系统 使 用 广播 (broadcast) 介质 进行 通信 一 一 发 送 方 在 公共 信道 上 发 
送 数 据 ， 连 接 在 该 信道 上 的 接收 方 ， 无 论 是 指定 的 还 是 非 指 定 的 ， 都 可 以 读 取 该 数据 。 这 些 
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例子 包括 使 用 CAN 总 线 的 车 载 网 络 以 及 无 线 传 感 器 网 络 等 。 广 播 介 质 具有 很 多 优势 : 简单 、 
需要 很 少 的 基础 设施 ， 以 及 发 送 方 可 以 快速 与 大 量 接收 方 交 互 。 然 而 ， 其 也 存在 一 些 不 足 ， 
恶意 方 可 以 轻易 地 穹 听 并 注入 恶意 数据 包 。 另 外 ,广播 机 制 的 可 靠 性 也 值得 关注 。 

在 时 间 约 束 以 及 能 耗 约束 的 情况 下 ， 如 何 才 能 基于 这 种 广播 介质 实现 安全 密 钥 的 交换 
We? 该 问题 的 研究 开始 于 21 世纪 初 ， 且 第 一 个 研究 成 果 率 先 部 署 于 无 线 传 感 器 网 络 〈 请 参 
阅 Perrig et al.( 2004 ); Perrig and Tygar( 2012 ) ) 。 一 个 新 的 思想 是 利用 这 些 网 络 的 时 间 特 性 ， 
其 思想 之 源 可 追溯 至 1998 年 发 表 的 一 篇 论文 ， 请 参见 Anderson et al. (1998 ) 。 

第 一 条 属性 是 时 钟 同步 ( clock synchronization)， 网 络 上 的 不 同 结 点 都 有 时 钟 ， 该 属性 
使 得 任何 两 个 时 钟 之 间 的 善 值 都 被 一 个 很 小 的 常量 所 限制 。 许 多 传感器 结 点 可 以 通过 GPS 
或 者 如 精确 时 间 协 议 (Precision Time Protocol, PTP) (Eidson, 2006) 等 协议 来 拥有 同步 的 
时 钟 。 

第 二 条 属性 是 预定 传播 (scheduled transmission)。 按 照 时 间 表 ， 网 络 中 的 每 个 结 点 都 按 
照 预定 的 时 间 发 送 数 据 包 。 

上 述 两 条 属性 组 合 起 来 就 允许 使 用 一 个 安全 的 广播 协议 ， 称 为 TESLA ( Perrig et al., 
2002 )。 该 协议 用 于 由 基站 和 传感器 结 点 组 成 的 广播 式 网 络 。1TESLA 协议 的 一 条 关键 属性 
是 安全 认证 一 一 正在 接收 消息 的 结 点 应 该 可 以 确定 谁 是 可 信 的 发 送 方 ， 并 丢弃 欺骗 性 消息 。 
结 点 通过 使 用 消息 中 基于 密 钥 计算 的 消息 认证 码 (MAC) 来 进行 认证 。 该 密 钥 在 原始 消息 被 
发 送 之 后 的 某 个 时 间 以 广播 方式 发 送 ， 人 允许 接收 方 为 自己 计算 消息 认证 码 并 确定 所 接收 消息 
的 真实 性 。 由 于 每 条 消息 具有 时 间 惟 ,在 收 到 消息 之 后 接收 方 基 于 这 个 时 间 戳 、 本 地 时 钟 、 
最 大 时 钟 脉冲 相位 差 以 及 密 钥 发 布 的 时 间 表 来 验证 用 于 计算 消息 认证 码 的 密 钥 是 否 还 未 被 发 
布 。 如 果 检 查 失败 ， 该 消息 被 丢弃 ; 否则 ， 当 接收 到 该 密 钥 时 ， 通 过 计算 消息 认证 码 并 与 接 
收 到 的 消息 认证 码 进行 比 对 来 检查 消息 的 真实 性 。 这 样 ， 结 合 验证 消息 的 目的 ， 密 钥 的 定时 
发 布 就 被 用 于 在 广播 式 的 发 送 方 和 接收 方 之 间 共 享 密 钥 。 

一 个 相 类 似 的 方法 已 经 被 应 用 于 基于 CAN 的 车 载 网 络 。Lin 等 (2013) 已 经 面向 CAN 
总 线 给 出 了 扩展 ATESLA 的 方法 ， 这些 结 点 之 间 无 需 共 享 一 个 公共 的 全 局 时 间 概 念 。 男 
外 ， 面 向 时 间 触 发 以 太 网 (Time Triggered Ethernet, TTE) 的 密 钥 定时 延迟 发 布 也 已 被 实现 
(Wasicek et al., 2011 ) 。 

3. 其 他 方案 

在 特定 应 用 领域 中 ,已 基于 该 领域 特点 开发 出 多 种 定制 的 密 钥 交换 机 制 。 例 如 ， 
Halperin “ (2008) 讨论 了 面向 心脏 起 搏 器 、 心 脏 除 颤 器 等 可 植 入 医疗 设备 ( Implantable 
Medical Devices, IMD) 的 密 钥 交换 机 制 。 文 章 基于 射频 (RF) 能 量 捕获 提出 了 可 植 人 医疗 
设备 上 的 “ 零 功 耗 ”安全 性 机 制 。 新 的 密 钥 交换 方案 还 包括 了 一 个 与 可 移植 医疗 设备 发 起 通 
信 的 “编程 器 ”设备 (其 向 该 类 医疗 设备 提供 射频 信号 从 而 使 后 者 获得 能 量 )。 可 植 和 人 医疗 
设备 产生 一 个 患者 可 感知 的 、 微 弱 调 制 声波 传输 的 随机 值 。 该 方法 的 安全 性 依赖 于 一 个 基于 
患者 周围 物理 环境 安全 性 的 威胁 模型 ， 这 对 于 特定 应 用 看 上 去 是 合理 的 。 


17.2.2 加密 协议 设计 


在 写作 本 书 时 ， 网 络 化 岩 和 人 式 系统 中 一 些 广 为 提 及 的 弱点 仍然 是 由 于 通信 协议 设计 中 
很 少 或 者 没有 考虑 安全 性 而 引起 的 (参见 后 面 的 “对 系统 进行 逆向 工程 以 提高 安全 性 ”注解 
栏 )。 然 而 ， 即 使 是 基于 密码 学 原 语 设计 的 安全 性 协议 ， 其 也 可 能 存在 缺陷 。 就 算 有 完善 的 
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密码 技术 以 及 密 钥 交换 和 密 钥 管理 基础 设施 ， 协 议 的 设计 质量 仍 可 能 影响 保密 性 、 完 整 性 和 
真实 性 。 以 下 结合 一 个 示例 进行 说 明和 讨论 。 


GARB 对 协议 的 重 放 攻 击 (replay attack) 是 指 攻 击 者 可 以 通过 重 放 协 议 上 的 某 些 
消息 来 破坏 安全 性 ， 其 可 能 修改 所 携带 的 数据 。 

这 里 我 们 描述 一 个 在 虚构 的 无 线 传感器 网 络 协议 上 的 重 放 攻击 。 该 网 络 包括 了 以 广播 方 
式 通信 的 基站 S 和 一 组 能 量 受 限 的 传感器 结 点 NI, N,, …, Ni。 每 个 结 点 更 多 地 处 于 休眠 模式 
以 节省 能 量 。 当 S 要 与 一 个 特定 结 点 Ni 通信 以 读 取 传感器 数据 时 ， 其 向 该 结 点 发 送 基于 8 
PN 间 所 商定 共享 密 钥 K; 进行 加 密 的 消息 M。 之 后 ，N 用 一 个 加 密 的 传感器 读数 R 进行 响 
应 。 换 名 话说 ， 该 协议 具有 如 下 消息 交换 。 

S— N,: E(K, M) 
N,— S: E(K, R) 

从 表面 上 看 ， 该 协议 似乎 是 安全 的 。 然 而 ， 它 的 缺陷 在 于 可 能 会 影响 网 络 的 运行 。 由 于 
这 些 结 点 使 用 了 广播 通信 方式 ， 攻 击 者 可 以 很 容易 地 记录 下 消息 EK, M)。 之 后 ， 攻 击 者 就 
能 够 以 较 低 的 能 量 多 次 重 放 这 个 消息 ， 从 而 使 N; 检测 到 该 消息 ， 且 不 被 3 感知。Ni 将 持续 
用 加 密 的 传感器 读数 来 响应 ， 从 而 比 预期 更 快 地 耗 尽 电池 电量 ， 并 停止 工作 。 

请 注意 ， 本 协议 中 所 使 用 的 每 个 加 密 步 骤 并 没有 什么 错误 。 问 题 在 于 系统 的 时 态 行 
为 一 一 NN; 无 法 检查 一 个 消息 是 否 “ 新 鲜 ”。 一 个 对 抗 该 攻击 的 简单 方法 是 附加 一 个 “新 鲜 ” 
的 随机 数 ， 称 之 为 nonce 随机 数 © 或 者 为 每 个 消息 增加 一 个 时 间 惟 。 

该 攻击 也 是 拒绝 服务 攻击 (Denial-of-Service attack, B DoS 攻击 ) 的 一 个 例子 ,该 攻击 
的 效果 是 使 传感器 结 点 不 能 继续 提供 服务 。 


幸运 的 是 ， 很 多 技术 和 工具 人 允许 在 部 署 加 密 协 议 之 前 形式 化 地 建 模 这 些 协 议 并 验证 它们 
对 特定 属性 和 威胁 模型 的 正确 性 。 为 了 提高 协议 的 安全 性 ， 需 要 更 加 广泛 地 使 用 这 些 技术 。 


对 系统 进行 逆向 工程 以 提高 安全 性 
一 些 谈 入 式 系 统 是 在 安全 性 还 属于 次 要 设计 问题 的 时 候 (如 果 有 的 话 ) 设计 的 。 近 
年 来 的 研究 表明 ， 这 种 缺乏 对 安全 性 的 关注 可 能 导致 不 同 领域 中 的 系统 受到 损害 。 所 采 
用 的 主要 解决 方法 是 对 系统 访问 的 协议 及 组 件 的 运行 进行 逆向 工程 处 理 。 
这 里 ， 我 们 给 出 已 在 实际 谈 入 式 系统 中 得 到 证 明 的 三 个 代表 性 缺陷 示例 。Halperin 


等 (2008 ) 阅 明 了 可 植 入 医疗 设备 如 何 被 无 线 读 取 和 重 编程 。Koscher 等 (2010 ) 证 明 
了 车 载 板 上 诊断 总 线 (OBD-I) 协议 如 何 被 颠 履 ， 以 破坏 性 地 控制 更 大 范围 的 功能 ， 包 
括 使 刹车 无 效 、 关 闭 引 擎 等 。Ghena 等 (2014 ) 研究 了 交通 灯 交 叉 路 口 ， 并 证 明 如 何 无 
线 控制 它们 的 部 分 功能 以 进行 诸如 引起 交通 堵塞 等 的 拒绝 服务 攻击 。 

基于 对 “遗留 ”嵌入 式 系统 进行 逆向 工程 可 以 理解 它们 的 机 能 并 发 现 潜在 的 安全 缺 
陷 ， 该 类 研究 构成 了 保护 信息 物理 设施 过 程 中 的 一 个 重要 组 成 部 分 。 





17.3 软件 安全 性 
软件 安全 性 (software security) 领域 主要 关注 软件 实现 中 的 错误 如 何 影响 期 望 的 系统 安 


日 使 用 一 次 的 随机 数 。 一 一 译 者 注 


全 性 和 隐私 性 等 属性 。 软 件 中 的 缺陷 也 可 能 被 用 于 窃取 数据 、 使 系统 瘫痪 ， 而 且 更 为 糟糕 的 
是 ， 人 允许 攻击 者 获取 任意 级 别 的 系统 控制 能 力 。 软 件 实现 中 的 不 足 是 实际 中 最 大 的 安全 问题 
类 型 之 一 。 这 些 不 足 对 于 和 通信 式 系统 是 尤其 危险 的 。 很 多 嵌入 式 软件 基于 如 C 语言 等 低级 
语言 编写 ， 编 程 人 员 很 少 编 写 进行 语言 级 检查 的 代码 。 另 外 ,软件 通常 运行 在 裸 机 上 ， 没 有 
底层 的 操作 系统 或 者 其 他 能 够 监视 并 限制 非法 访问 或 操作 的 软件 层 。 最 后 ， 我 们 注意 到 在 其 
入 式 系 统 中 ， 即 使 只 是 “瘫痪 ”"， 系 统 也 可 能 产生 严重 的 后 果 ， 因 为 其 可 以 完全 损害 系统 与 
物理 世界 的 交互 过 程 。 例 如 ， 心 脏 起 搏 器 等 医疗 设备 瘫痪 的 后 果 可 能 是 设备 停止 工作 (如 停 
止 起 搏 )， 进 而 对 患者 造成 潜在 的 生命 威胁 。 

本 节 采 用 一 些 说 明 性 示例 为 读者 简要 地 介绍 软件 的 安全 性 问题 。 读 者 可 以 查阅 关于 安全 
性 的 书籍 (如 Smith and Marchesini ( 2007 ) 等 ) 来 获得 更 多 的 细节 。 

这 里 的 例子 说 明 一 个 被 称 为 缓冲 区 溢出 的 安全 隐患 。 这 类 错误 在 C 等 低级 语言 中 特别 
常见 ， 其 主要 是 由 于 缺少 对 C 程序 中 访问 数组 或 指针 的 自动 化 边界 检查 所 引起 的 。 更 为 确 
切 地 ， 缓 冲 区 溢出 是 由 于 缺少 边界 检查 所 导致 的 越过 数组 或 内 存 区 域 结 束 位 置 的 程序 写 操作 
引起 的 。 攻 击 者 可 以 使 用 这 种 越界 写 操作 来 破坏 程序 中 的 可 信人 位置， 如 加 密 变量 的 值 或 者 函 
数 的 返回 地 址 。( 提 示 : 与 该 内 容 相关 的 是 第 9 章 ， 有 必要 对 这 些 内 容 进行 复习 。) 

接 下 来 ， 我们 结合 如 下 一 个 简单 示例 进行 讨论 。 


GRID 某 些 次 入 式 系统 中 的 传感器 使 用 通信 协议 ， 从 指定 端口 或 网 络 套 接 字 
(socket) 以 字 节 流 的 方式 读 取 不 同 板 上 传感器 的 数据 。 如 下 的 代码 示例 说 明 这 样 的 一 个 场景 。 
这 里 ， 程 序 员 希望 读 取 最 多 16 字 节 的 传感器 数据 ， 并 将 它们 存放 在 数组 sensor_data 中 。 


1 char sensor_data[16]; 
2 int secret_key; 


void read_sensor_data() { 
int i. = 0; 


// 如 果 有 多 个 数据 ，more_data 返回 1 


// 否则 返回 0 
while (more_data()) 1 
10 sensor_data[i] = get_next_byte()j; 
11 itt 
12 } 
13 
14 return; 


15 } 

这 段 代码 的 问题 是 其 默认 地 相信 传感器 数据 流 不 会 超过 16 字 节 长 度 。 假 设 攻击 者 无 
论 是 通过 物理 访问 传感器 还 是 网 络 来 控制 这 个 流 ， 其 可 以 提供 超过 16 字 节 的 数据 ， 从 而 
导致 程序 越过 sensor_data 数组 的 结束 位 置 进行 写 操 作 。 请 再 注意 ， 变 量 secret_key 恰好 在 
sensor data 之 后 定义 ， 且 假设 编译 器 为 它们 分 配 相 邻 的 地 址 。 在 这 种 情况 下 ， 攻 击 者 就 可 
以 利用 缓冲 区 溢出 漏洞 ， 提 供 一 个 20 字 节 长 度 的 流 并 用 其 所 设 定 的 密 钥 来 重 写 secret_key。 
这 种 漏洞 还 可 被 用 来 对 系统 造成 其 他 损害 。 

上 例 包括 了 对 全 局 内 存 中 数组 的 越界 写 操作 ， 接 下 来 考虑 该 数组 存放 在 栈 中 的 情形 。 在 
该 情形 下 ， 绥 冲 区 溢出 漏洞 可 以 被 利用 来 重 写 函数 的 返回 地 址 ， 从 而 使 其 执行 攻击 者 所 希望 
的 某 些 代码 。 这 可 以 使 得 攻击 者 任意 地 控制 谋 和 人 式 系统 。 
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CR 再 米 看 示例 17.2 中 代码 的 如 下 变 体 ， 这 里 sensor_data 数组 存放 在 栈 中 。 与 
之 前 示例 一 样 ， 函 数 读 取 字 节 流 并 将 其 存储 在 sensor data。 然 而 在 本 例 中 ， 读 取 的 传感器 数 
据 随 后 被 函数 处 理 并 用 于 设置 某 些 全 局 存储 的 标志 位 《其 可 被 用 于 进行 控制 决策 )。 

1 int sensor_flags[4]; 
; void process_sensor_data() { 


int i = 0; 
char sensor_data[16]; 


aot nwn + 


// 如 果 有 多 个 数据 ，more data KH 1 

// 否则 返回 0 

9 while (more_data()) { 

10 sensor_data[i] = get_next_byte(); 
u itt; 


12 } 


14 // 这 里 的 代码 设置 sensor flags 
15 // 基于 sensor data 中 的 值 


17 return; 
18 } 


先 来 回顾 第 9 章 中 函数 栈 帧 的 布局 ， 函 数 process_sensor_data 的 返回 地 址 可 能 会 正好 存 
放 在 sensor_data 的 内 存 地 址 之 后 。 为 此 ， 攻 击 者 可 以 利用 缓冲 区 溢出 的 漏洞 来 重 写 返回 地 
址 并 跳 转 到 他 所 希望 的 位 置 执行 。 这 个 版 本 的 缓冲 区 溢出 漏洞 有 时 (很 恰当 地 ) 被 称 为 栈 粉 
碎 (stack smashing) . 

另外 ， 攻 击 者 可 以 向 内 存 写 更 长 的 字 节 序列 并 在 该 序列 中 包含 任意 代码 。 重 写 的 返回 地 
址 可 以 被 设 定 在 这 个 重 写 的 内 存 区 域内 ， 从 而 导致 攻击 者 可 以 控制 将 被 执行 的 代码 ! 这 个 攻 
击 通 常 被 称 为 代码 注入 攻击 (code injection attack). 


那么 ， 如 何 避 免 缓 冲 区 溢出 攻击 呢 ? 一 个 简单 的 方法 是 通过 跟踪 缓冲 区 长 度 来 显 式 地 检 
查 我 们 是 否 从 来 不 会 越过 缓冲 区 的 结束 位 置 。 另 一 个 方法 是 使 用 支持 内 存 安全 性 的 高 级 语 
言 一 一 防止 程序 对 其 无 权 访问 或 者 程序 员 不 希望 其 访问 的 内 存 位 置 进行 读 写 。 习 题 1 要 求 纺 
写 防 止 缓冲 区 溢出 的 代码 。 


17.4 信息 流 


很 多 安全 属性 指定 了 参与 者 双方 之 间 信 息 流 的 约束 。 保 密 性 属性 限制 攻击 者 对 通道 上 秘 
密 数 据 流 的 访问 。 例 如 ， 用 户 的 银行 卡 余额 应 该 只 能 被 用 户 以 及 被 授权 的 银行 员工 查看 ， 而 
对 攻击 者 不 可 见 。 类 似 地 ， 完 整 性 属性 限制 攻击 者 控制 的 不 可 信 数 据 流向 信任 的 通道 或 者 位 
置 。 银 行 余 额 应 该 仅 由 被 信任 的 存 、 取 操作 来 写 和 人 ， 而 不 能 被 恶意 方 任意 地 写 。 安 全 信息 流 
(secure information flow) 系统 地 研究 系统 中 信息 流 如 何 影 响 其 安全 性 和 隐私 性 ， 这 也 是 本 节 
的 一 个 核心 主题 。 

给 定 一 个 戏 入 式 系 统 组 件 ， 理 解 信 息 如 何 从 秘密 位 置 流动 到 攻击 者 可 读 的 “公开 ' 位置 ， 
或 者 从 攻击 者 控制 的 不 可 信 通 道 流 到 可 信 位 置 是 非常 重要 的 。 我 们 需要 检测 非法 信息 流 并 量 
化 其 对 整个 系统 安全 性 影响 的 相关 技术 。 另 外 ， 给 定安 全 性 和 隐私 性 策略 ， 我 们 还 需要 通过 
适当 地 限制 信息 流 以 在 系统 上 实施 这 些 策略 的 技术 。 本 节 的 目标 是 让 读者 掌握 安全 信息 流 的 
基本 原理 ， 从 而 可 以 开发 这 样 的 技术 。 
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17.4.1 几 个 示例 
为 了 说 明 安 全 信息 流 问题 ， 我 们 首先 给 出 几 个 例子 。 虽 然 这 些 例子 更 侧重 于 保密 性 ， 但 
这 些 问题 和 方法 也 同样 适合 于 完整 性 属性 。 


《CE 医疗 设备 正在 日 益 成 为 软件 控制 的 个 性 化 、 网 络 化 装置 。 该 类 设备 的 一 个 
例子 就 是 用 于 监测 患者 血糖 水 平 的 血糖 仪 。 假 设 有 这 样 一 款 血 糖 仪 ， 其 获取 患者 的 血糖 水 
平 ， 在 设备 屏幕 上 显示 结果 并 将 该 值 通过 网 络 发 送 给 患者 就 医 的 医院 。 以 下 给 出 执行 这 些 任 
务 的 软件 的 高 度 抽象 版 本 。 


int patient_id; // 初始 化 为 


1 
2 // 患者 的 唯一 标识 (ID) 

3 void take reading() { 

4 float reading = read_from_sensor()j; 

5 

6 display (reading) ; 

7 

8 send (network_socket, hospital_server, 
9 reading, patient_id); 


11 return; 
2 } 


函数 take reading 记录 单 次 血糖 读数 (例如 ， 单 位 为 mg/dL) 并 将 其 存 入 一 个 浮 点 变量 
reading 中 。 之 后 ， 以 特定 格式 将 该 数据 进行 显示 。 最 后 ， 设 备 将 该 数据 与 患者 的 ID 一 起 以 
无 加 密 的 方式 通过 网 络 发 送 到 医院 的 服务 器 ， 以 便于 主治 医生 进行 分 析 。 

假设 患者 希望 对 其 血糖 水 平 进行 保密 ， 或 者 说 ， 只 有 他 和 他 的 医生 可 以 知道 这 个 数据 。 
那么 ， 该 程序 能 够 达到 这 一 目标 吗 ? 很 容易 看 到 情况 并 非 如 此 ， 这 主要 是 因为 reading 的 值 
会 在 网 络 上 明文 传输 。 我 们 可 以 将 这 个 对 隐私 性 的 破坏 建 模 为 从 reading 到 network socket 
的 非法 信息 流 ， 前 者 是 一 个 秘密 位 置 而 后 者 则 是 攻击 者 可 见 的 公开 通道 。 

基于 本 章 之 前 所 述 的 密码 学 原 语 知识 ， 我 们 知道 这 可 以 做 得 更 好 。 具 体 而 言 ， 我 们 假设 
在 患者 端 设 备 和 使 用 对 称 密 钥 加 密 机 制 的 医院 服务 器 之 间 有 一 个 共享 密 钥 。 进 而 ， 就 可 以 有 
如 下 新 的 程序 版 本 。 

GD 在 木 程序 中 ， 我 们 使 用 对 称 密 钥 加 密 技术 AES 来 保护 数据 。 加 密 过 程 由 函 
数 enc_AES 进行 抽象 表示 ，send_enc 和 send 仅 在 第 三 个 参数 的 类 型 上 有 所 不 同 。 

int patient_id; // 初始 化 为 


// 患者 的 唯一 标识 


long cipher_text; 


1 
2 

3 

4 

5 struct secret_key_s { 
6 long key_partl; long key_part2; 

7 3; // 存储 128 位 AES 密 钥 的 结构 类 型 

8 

9 struct secret_key_s secret_key; // #234 


1 void take_reading() { 
12 float reading = read_from_sensor (); 


14 display (reading) ; 


16 enc_AES (&secret_key, reading, &cipher_text); 
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18 send_enc(network_socket, hospital_server, 
19 cipher_text, patient_id); 


21 return; 
22. +} 


本 例 中 ,仍然 存在 由 reading 到 network_socket 的 一 个 信息 流 。 实 际 上 ， 还 存在 一 个 从 
secret_key 到 network socket 的 信息 流 。 然 而 ， 这 两 个 流 都 经 过 了 一 个 加 密 函 数 enc AES 的 
处 理 。 在 安全 性 文献 中 ， 这 样 的 函数 被 称 为 销 密 器 ( declassifier)， 因 为 它 以 某 种 方式 对 秘密 
数据 进行 编码 ， 使 得 在 攻击 者 可 读 的 通道 上 传输 编码 的 “ 销 密 ” 结 果 是 可 接受 的 。 换 名 话说 ， 
销 密 器 发 挥 了 阻拦 秘密 信息 流 “ 大 坝 ” 的 作用 ， 并且， 通过 密码 学 原 语 的 属性 仅 会 发 布 不 为 
攻击 者 提供 比 之 前 信息 量 更 多 的 信息 。 


虽然 以 上 对 代码 的 修正 阻止 了 关于 患者 血糖 读数 的 信息 流 ， 但 请 注意 这 并 没有 完全 地 
保护 程序 。 具 体 地 ， 患 者 ID 仍然 是 以 明文 的 形式 在 网 络 上 传输 ! 因此 ， 即 使 攻击 者 没有 密 
钥 也 不 知道 患者 的 监测 数据 ， 但 其 可 以 知道 是 谁 向 医院 发 送 了 这 个 数据 (以 及 在 什么 时 间 )。 
一 些 隐私 数据 仍然 被 泄露 。 解 决 该 问题 的 方法 很 简单 一 一 我 们 可 以 在 发 送 之 前 先 用 密 钥 将 
reading 和 patient_id 这 两 个 变量 进行 加 密 。 

截至 目前 ， 我 们 已 经 假设 了 一 个 攻击 者 只 可 以 读 取 网 络 上 发 送 的 信息 的 隐 式 威胁 模型 。 
然而 ， 对 许多 骨 入 式 系 统 而 言 ， 攻 击 者 也 可 以 对 设备 进行 物理 访问 。 例 如 ， 读 者 可 以 考虑 当 
患者 丢失 了 他 的 设备 且 由 一 个 未 授权 的 人 (攻击 者 ) 对 其 进行 访问 时 可 能 会 发 生 什么 。 如 果 
患者 的 监测 参数 存储 在 设备 中 , 那么 在 这 样 的 一 个 非法 信息 流出 现时 攻击 者 就 可 能 读 取 存储 
在 其 中 的 数据 。 防 止 该 类 攻击 的 一 个 方法 是 让 患者 创建 一 个 密码 ， 就 像 为 其 他 个 人 设备 创建 
密码 一 样 ， 并 在 设备 开机 时 提示 输入 密码 。 在 下 例 中 我 们 来 讨论 这 个 想法 。 


AD 假设 在 设备 上 存放 了 过 去 100 次 监测 数据 的 日 志 。 如 下 代码 给 出 了 show 
readings 函数 的 实现 ， 该 函数 提示 用 户 输入 一 个 整数 密码 ， 且 仅 当 该 密码 通过 存储 密码 
patient pwd 的 验证 后 才 显 示 存 储 的 读数 ,否则 显示 一 个 不 包含 任何 存储 读数 的 错误 信息 。 

ı dint patient_id; // 初 始 化 


/7 患者 的 唯一 标识 
int patient_pwd; // 存储 患者 的 密码 


float stored_readings[100]; 


void show_readings() { 
int input_pwd = read_input(); // 提示 用 户 
9 // 输入 密码 并 读 入 
10 if (input_pwd == patient_pwd) // 验证 密码 
11 display (&stored_readings) ; 


12 else 

13 display_error_mesg(); 
14 

15 return; 


6 } 

假设 攻击 者 并 不 知道 patient_ pwd 的 值 ， 可 以 看 到 以 上 代码 不 会 泄露 这 100 个 数 中 的 任 
何 一 个 。 和 但 是 ， 这 还 是 泄露 了 一 点 信息 : mtd rg 实际 上 认 
为 这 样 的 泄露 是 可 接受 的 ， 因为 对 于 强度 很 高 的 密码 ， 即 使 是 最 坚决 的 攻击 者 也 要 进行 指数 
级 的 登录 尝试 ， 而 且 这 可 以 通 ar Heei 试 来 消除 。 
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上 例 说 明了 定量 信息 流 (Quantitative Information Flow, QIF) 的 概念 。 定量 信息 流通 常 
使 用 测量 从 秘密 位 置 流 向 公开 位 置 的 信息 总 量 的 函数 来 定义 。 例 如 ， 有 人 可 能 关注 计算 已 泄 
露 位 的 数量 ， 如 上 例 所 示 。 如 果 认 为 该 数量 足够 小 ,那么 信息 泄露 是 可 以 容忍 的 ,否则 ， 程 
序 必 须 被 重 写 。 然 而 ， 示 例 17.6 中 的 代码 具有 一 个 潜在 的 缺陷 。 再 次 说 明 ， 该 缺陷 源 自 相 
应 的 威胁 模型 。 特 别 是 考虑 这 种 情形 : 攻击 者 不 仅 拥有 设备 实物 ， 其 还 具有 知识 和 资源 来 进 
行 侵 入 式 攻击 ， 即 打开 设备 并 在 设备 运行 时 读 出 其 内 存 内 容 。 在 这 种 情形 下 ， 攻 击 者 可 以 仅 
通过 启动 设备 并 在 系统 初始 化 时 读 取 内 存 内 容 就 能 得 到 patient_pwd 的 值 。 

我 们 如 何 才能 防止 这 样 的 侵入 式 攻 击 呢 ? 一 种 方法 是 使 用 具有 安全 散 列 函数 的 安全 硬件 
或 者 固件 。 假 设 硬 件 提供 了 安全 存储 ， 可 以 得 出 用 户 密码 的 安全 散 列 且 检 测 出 任何 自 改 。 那 
么 ， 仅 需要 在 主 存 中 存储 安全 散 列 ， 而 不 是 实际 的 密码 。 根 据 安全 散 列 函 数 的 属性 ， 攻 击 者 
仅 用 获得 的 散 列 信息 来 逆向 获取 密码 在 计算 上 是 不 可 行 的 。 

类 似 的 缺陷 也 存在 于 示例 17.5 中 ， 甚 密 钥 以 明文 的 形式 存放 在 内 存 中 。 然 而 ， 在 这 种 
情形 中 ， 仅 采用 密 钥 的 安全 散 列 是 不 够 的 ， 因 为 需要 用 实际 的 密 钥 来 执行 加 密 和 解密 以 保障 
与 服务 器 的 安全 通信 。 那 么 ， 我 们 如 何 保护 这 个 函数 呢 ? 一 般 而 言 ， 这 需要 一 个 诸如 安全 密 
钥 管 理 器 的 附加 组 件 ， 如 采用 硬件 或 可 信 操 作 系 统 来 实现 ， 管 理 器 使 用 一 个 主 密 钥 为 应 用 加 
密 或 解密 密 钥 。 

最 后 ， 尽 管 这 些 例子 通过 软件 中 的 变量 值 说 明了 信息 流 ， 但 信息 流 也 可 能 从 其 他 通道 泄 
露 。 旁 路 (side channel) 这 一 术语 被 用 于 表示 包含 有 非 传 统 通 信 信 息 方式 的 通道 ,通常 使 用 
一 个 物理 量 , 诸如 时 间 、 功 耗 、 音 频 信号 的 振幅 与 频率 ， 或 者 导致 传统 信息 泄露 的 系统 的 物 
理 改 动 ， 如 故障 等 。 在 17.5.20, 我 们 将 阐述 一 些 关 于 旁 路 攻击 的 基本 概念 。 


17.4.2 ”理论 


至 此 ， 我 们 仅 非 形式 化 地 讨论 了 保密 性 和 完整 性 属性 。 那 么 ,我 们 如 何 能 够 像 第 13 章 
引入 的 概念 那样 来 确切 地 描述 这 些 属性 呢 ?” 事 实证 明 ， 形 式 化 地 给 出 安全 性 与 隐私 性 属性 可 
能 是 非常 辐 手 的 。 这 些 年 来 ， 文 献 中 已 经 提出 了 不 同 的 形式 化 机 制 ， 但 尚未 形成 关于 诸如 保 
密 性 或 完整 性 等 概念 的 一 致 性 定义 。 然 而 ， 一 些 基 础 性 概念 和 原理 已 经 开始 浮现 。 本 节 将 介 

第 一 个 关键 概念 是 非 干 预 ( non-interference)。“ 非 干预 ”一 词 被 用 于 指定 任何 一 类 ( 安 
全 性 ) 属性 ， 这 些 属性 规定 了 一 个 或 多 个 参与 方 采取 的 动作 如 何 能 够 或 者 不 能 影响 (十 扰 、 
妨碍 ) 其 他 方 采取 的 动作 。 例 如 对 于 完整 性 ， 就 要 求 攻击 者 的 动作 不 能 影响 特定 信任 数据 或 
计算 的 值 。 类 似 地 ， 对 于 保密 性 ， 要 求 攻击 者 的 动作 不 能 针对 于 保密 的 值 (意味 着 攻击 者 没 
有 任何 关于 这 些 值 的 信息 )。 

面向 不 同类 型 的 安全 性 或 者 隐私 性 属性 ， 非 干预 具有 多 种 形式 。 在 定义 这 些 概念 的 过 程 
中 ， 通 常 使 用 高 和 低 来 表示 两 个 安全 级 别 。 对 于 保密 性 ， 高 级 别 表 示 秘 密 数据 /通道 ， 低 级 
别 则 表示 公开 数据 /通道 。 对 于 完整 性 ， 高 级 别 是 指 信任 的 数据 /通道 ， 而 低级 别 则 是 非 信 
任 的 数据 /通道 。 非 干预 通常 定义 在 系统 的 轨迹 之 上 ， 其 中 的 每 个 输入 、 输 出 和 状态 元 素 都 
被 归 类 到 低级 或 者 高 级 类 别 。 

我 们 第 一 个 要 阐述 的 是 观察 确定 性 (observational determinism) (McLean, 1992 ; 
Roscoe，1995 )， 其 定义 如 下 : 如 果 系 统 的 两 条 路 径 被 初始 化 到 与 低级 别 元 素 完 全 相同 的 那 
些 状 态 中 ， 且 它们 接收 相同 的 低级 别 输入 ， 那 么 这 就 意味 着 该 轨迹 中 所 有 状态 和 输出 的 低级 
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别 元 素 必须 是 相同 的 。 换 句 话 说 ,一 条 系统 轨迹 的 低级 别 部 分 是 低级 别 初始 状态 和 低级 别 输 
入 的 确定 性 函数 ， 而 不 是 其 他 。 反 过 来 ， 这 意味 着 仅 控 制 或 者 观察 系统 轨迹 上 低级 别 部 分 的 
攻击 者 并 不 能 推断 出 任何 关于 高 级 别 部 分 的 信息 。 

其 另 一 个 形式 是 广义 非 干预 ( generalized non-interference) (McLean，1996 )， 要 求 系统 
呈现 具有 某 个 特定 属性 的 一 组 轨迹 : 对 于 任意 两 条 轨迹 mn 和 王 ， 必 然 存 在 一 条 新 构建 的 轨 
wr, Eno 的 每 一 步 中 ， 高 级 别 输 入 与 m 相同 ， 且 低级 别 输入 、 状 态 和 输出 都 与 相同 。 
显然 ， 通 过 观察 低级 别 状 态 和 输出 ， 攻 击 者 不 能 断定 其 是 否 正在 查看 rn 或 者 到 中 的 高 级 别 
输入 。 

然而 ， 不 同 的 非 和 干预 形式 共享 了 某 些 共同 特性 。 从 数学 上 讲 ， 它 们 都 是 超 属 性 
(hyperproperty )(Clarkson and Schneider, 2010 )。 形 式 化 地 ， 一 个 超 属性 是 一 组 轨迹 的 集合 。 
如 第 13 章 所 述 ， 可 以 将 该 定义 与 定义 为 一 个 轨迹 集合 的 属性 进行 对 比 。 更 为 确切 地 ， 后 者 
被 称 为 轨迹 属性 ( trace property)， 因 为 可 以 在 单个 独立 的 系统 轨迹 上 评估 其 真 值 。 相 比较 而 

， 超 属性 的 真 值 通常 ?不 能 通过 观察 单条 轨迹 来 确定 。 这 就 需要 观察 多 条 轨迹 并 计算 它们 
之 间 的 关系 ， 以 确定 它们 是 否 共同 满足 或 者 共同 违反 一 个 超 属 性 。 


D 考虑 图 17-1 中 的 两 个 状态 机 。 每 个 状态 机 都 有 一 个 保密 输入 s 和 一 个 公开 
输出 z。 另 外 ，M 有 一 个 公开 输入 xs。 攻击 者 可 以 直接 读 x 和 z 的 值 ， 但 不 能 读 取 s 

状态 机 Mi 满足 观察 确定 性 ( OD)。 对 于 任何 的 输入 序列 ，M, 生成 一 个 仅 取决 于 公开 给 
Ax BARR s 的 二 进 制 输出 序列 。 

ii, M 并 不 满足 OD。 例如 ， 以 输入 序列 1010° AH), M, 的 相应 输出 为 0101”。 如 果 
输入 序列 切换 到 0101"， 则 该 输出 也 将 切换 到 1010”"。 仅 通过 4 观察 输出 =， 对 手 就 能 够 获得 关 
于 输入 s 的 信息 。 


输入 : Sea {0,1} 输入 : s: 10, 1} 
输出 : z: {0,1} 输出 : z: {0,1} 
x= 1/0 s=1/0 
s=0/l s= 0 
x= 0/1 = 4 
s= 1/0 
a) M, b) M, 


图 17-1 ”状态 机 满足 观察 确定 性 (a) 和 不 满足 (b) 的 示例 。 输 入 s 是 一 个 保密 (高 级 别 ) 输入 ， 
输出 = 是 一 个 公开 (低级 别 ) 输出 


17.4.3 分析 与 实施 

一 些 已 开发 的 技术 被 用 来 分 析 和 跟踪 软件 系统 中 的 信息 流 ， 而 且 在 某 些 情形 下 ， 需 要 在 
设计 时 或 运行 时 实施 信息 流 策 略 。 如 下 我 们 介绍 这 样 的 一 些 方法 ， 但 需要 说 明 的 是 这 是 一 
快速 发 展 的 领域 且 我 们 只 选择 了 一 些 代表 性 方法 ， 而 并 非 全 部 。 

污点 分 析 (taint analysis ) 。 在 污点 分 析 中 ， 通 过 使 用 附加 于 数据 项 的 标签 (“污点”) 以 


O 显然 , 每 一 个 (轨迹 ) 属性 都 有 一 个 等 价 的 超 属性 ， 这 是 我 们 使 用 “通常 ”一 词 的 原因 。 
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及 对 内 存 操作 的 监测 来 跟踪 信息 流 。 当 监测 到 一 个 非法 信息 流 时 产生 一 个 警告 。 污 点 分 析 
主要 是 面向 软件 系统 开发 的 ， 其 可 以 在 编译 软件 时 静态 执行 ， 也 可 以 在 运行 时 动态 执行 。 例 
如 ， 对 于 示例 17.4 中 的 代码 ， 污 点 分 析 可 以 检测 出 从 reading 到 network_socket 的 保密 数据 
流 。 运 行 时 ， 在 写 到 网 络 接口 之 前 就 可 以 发 现 该 信息 流 ， 并 引发 一 个 运行 时 异常 或 者 其 他 预 
防 动作 。 静 态 污 点 分 析 是 一 个 简单 且 易 于 应 用 的 概念 ， 但 是 其 可 能 发 出 假 的 警告 。 动 态 污点 
分 析 则 既 简单 又 精确 ， 但 其 会 引入 运行 负载 。 系 统 设计 人 员 必 须根 据 其 场景 自行 评估 两 种 机 
制 的 适用 性 。 

信息 流 的 形式 化 验证 。 用 于 形式 化 验证 的 技术 (如 第 15 章 的 模型 检验 方法 ) 也 可 被 用 
于 验证 安全 信息 流 。 通 常 ， 在 原 有 分 析 问 题 已 被 归 约 为 某 个 适当 模型 的 安全 属性 检查 问题 之 
后 ， 这 些 方法 才 被 运用 (Terauchi and Aiken，2005 ) 。 相 较 于 污点 分 析 ， 该 类 方法 更 加 精确 ， 
但 是 它们 同样 有 较 高 的 计算 开销 。 由 于 这 些 方法 仍 在 快速 地 演化 和 发 展 ， 详 细 地 讨论 这 些 方 
法 超出 了 本 章 当 前 内 容 的 范围 。 

运行 时 实施 策略 。 污 点 的 概念 允许 我 们 指定 简单 的 信息 流 策 略 ， 如 任何 时 候 都 不 允许 保 
密 数 据 流向 任何 公开 位 置 。 然 而 ， 一 些 安全 性 和 隐私 性 策略 会 更 加 复杂 。 例 如 有 这 样 一 条 策 
略 : 用 户 的 位 置信 息 有 时 是 公开 的 (如 他 们 在 工作 场所 或 者 在 机 场 等 公共 空间 时 ), 但 有 时 
必须 是 保密 的 (如 他 们 看 医生 时 )。 这 样 的 一 条 策略 在 存放 用 户 位 置 的 变量 上 增加 了 一 条 时 
间 可 变 的 保密 标签 。 制 定 、 检 验 及 实施 这 些 有 表达 力 的 策略 是 一 个 活跃 的 研究 领域 。 


17.5 ”高 级 主题 


安全 性 和 隐私 性 中 的 某 些 问题 对 于 信息 物理 融合 系统 的 情形 特别 重要 。 本 节 回顾 其 中 的 
两 个 问题 并 强调 说 明 一 些 关 键 内 容 。 


17.5.1 传感器 与 执行 器 安全 


传感器 与 执行 器 构成 了 信息 世界 和 物理 世界 之 间 的 接口 。 在 很 多 信息 物理 融合 系统 中 ， 
这 些 组 件 很 容易 被 攻击 者 观察 或 者 控制 。 由 此 ， 在 这 些 组 件 上 检测 攻击 并 保护 其 安全 就 成 为 
一 个 重要 问题 。 这 两 个 工作 的 核心 是 开发 真实 的 威胁 模型 和 机 制 来 描述 这 些 威胁 。 我 们 回顾 
近来 传感器 安全 性 领域 的 两 个 代表 性 工作 。 

近期 的 工作 侧重 于 模拟 传感器 攻击 ， 即 面向 这 些 攻击 开发 相应 的 威胁 模型 以 及 解决 措 
施 。 该 类 攻击 的 主要 模式 是 采用 电磁 干扰 ( ElectroMagnetic Interference, EMI) 来 修改 感 
知 的 信号 。 近 期 的 两 个 项 目 已 经 研究 了 不 同 应 用 中 的 电磁 干扰 攻击 。Foo Kune 等 (2013 ) 
研究 了 不 同 功率 和 距离 下 对 可 植 入 医疗 设备 及 消费 电子 产品 的 电磁 干扰 攻击 。Shoukry 等 
( 2013 ) 研究 了 禾 改 某 种 类 型 车 载 传感器 数据 的 电磁 干扰 攻击 。 结 合 这 两 个 项 目 ， 下 面 简 要 
阐述 一 些 基 本 原理 。 

1. 威胁 模型 

在 传感器 安全 性 的 情境 下 ， 可 以 根据 多 个 维度 对 电磁 干扰 进行 分 类 。 首 先 ， 该 类 干扰 可 
能 是 侵入 的 ， 包 括 对 传感器 组 件 的 修改 ; 或 者 是 非 侵 入 的 ,包括 帘 察 数据 或 者 伪造 数据 的 远 
程 注 入 。 其 次 ， 它 可 能 是 非 著 意 的 (如 由 雷击 或 者 变压器 引起 ) 或 者 是 蓄意 的 (由 攻击 者 注 
入 )。 第 三 ， 它 可 能 是 高 强度 的 ， 潜 在 地 向 传感器 注入 故障 或 者 使 传感器 失去 能 力 ; 或 者 是 
低 强 度 的 ， 其 仅 注 入 虚假 数据 或 修改 传感器 的 读数 。 这 些 维度 可 以 被 用 于 定义 非 形式 化 的 安 
全 模型 。 
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Foo Kune “% (2013) 给 出 了 一 个 著 意 、 低 强度 、 非 侵入 攻击 的 威胁 模型 。 这 些 特性 的 
组 合 是 最 难 防 御 的 情形 之 一 ， 因 为 这 些 攻击 的 低 强 度 和 非 人 侵 特 性 使 其 潜在 地 难以 被 检测 。 
这 些 研究 人 员 设 计 了 两 种 电磁 干扰 攻击 。 基 带 攻击 向 传感器 数据 所 在 的 频带 注入 信号 。 它 们 
对 可 以 滤 除 工作 频带 外 信和 号 的 传感器 可 能 是 有 效 的 。 调 幅 攻击 从 传感器 相同 频段 中 的 载波 信 
号 开始 ， 并 用 攻击 信号 对 其 进行 调制 。 它 们 可 以 匹配 传感器 的 共振 频率 ， 从 而 放大 即使 是 低 
强度 攻击 信号 的 影响 。 研 究 人 员 证 明了 这 些 攻击 如 何在 可 植 入 医疗 设备 上 实施 : 从 距离 设备 
1 一 2 米 距 离 的 地 方 对 这 些 引 脚注 入 伪造 信号 、 抑 制 起 博 或 者 引起 除 颤 等 。 

Shoukry 等 (2013 ) 所 关注 的 威胁 模型 是 面向 蓄意 非 侵入 攻击 的 ， 主 要 是 汽车 中 的 防 抱 
死 (ABS) 系统 。 通 过 在 距离 车 轮 速度 磁 传感器 很 近 的 地 方 布 放 一 个 恶意 执行 器 (可 从 车 外 
安装 ) 对 其 进行 攻击 ， 该 执行 器 会 修改 ABS 传感器 所 测量 的 磁场 。 在 某 种 攻击 情形 下 ， 即 在 
该 攻击 中 执行 器 扰乱 磁场 但 其 攻击 者 不 能 精确 控制 ， 其 可 能 “仅仅 是 ”其 骗 性 的 ， 其 影响 与 
非 蓄 意 、 高 强度 电磁 干扰 相似 。 更 加 麻烦 的 情况 是 欺骗 攻击 ， 如 通过 在 执行 器 周 于 实现 一 个 
主动 磁场 来 向 ABS 系统 提供 一 个 车 轮 或 所 有 车 轮 不 正确 但 精确 的 速度 。 读 者 可 以 参考 该 文 
献 来 获取 更 多 信息 。 作 者 们 证 明 他 们 的 攻击 如 何 可 以 施加 到 真实 的 车 辆 传感器 上 ， 并 仿真 证 
明 ABS 如 何 能 够 被 欺骗 从 而 在 结 冰 路 面 环境 下 做 出 不 正确 的 刹车 决策 ， 使 得 车 辆 滑 出 路 面 。 

2. 应 对 措施 

以 上 所 述 的 两 个 研究 项 目 中 也 讨论 了 应 对 这 些 攻 击 的 潜在 措施 。 

Foo Kune “ (2013 ) 侧重 于 基于 硬件 和 软件 的 防御 范围 。 硬 件 或 电路 级 的 方法 包括 屏 
项 传感器 、 过 滤 输 入 信号 以 及 共 模 噪声 抑制 。 然 而 据 报告 ， 这 些 方法 的 有 效 性 比较 有 限 。 为 
此 ， 还 引入 了 基于 软件 的 防御 方法 ， 包 括 环境 中 的 电磁 干扰 水 平 评估 、 自 适应 滤波 、 心 脏 探 
测 等 以 判断 感知 的 信号 是 否 遵 从 了 某 个 期 望 的 模式 ， 进 而 使 用 恢复 到 默认 值 、 通 知 受 害 人 
(患者 ) 或 医生 可 能 的 攻击 等 方式 使 得 他 们 采用 适当 措施 以 离开 电磁 干扰 源 。 

Shoukry 等 (2015 ; 2016) 采用 了 一 个 源 自控 制 论 和 形式 化 方法 的 略 有 不 同 的 途径 。 该 
方法 的 思想 是 创建 一 个 传感器 攻击 的 数学 模型 ， 并 设计 状态 估计 算法 来 确定 被 攻击 的 传感器 
子 集 ， 进 而 隔离 它们 并 使 用 剩余 的 〈 未 被 攻击 的 ) 传 感 占 来 进行 状态 佑 计 与 控制 。 


17.5.2” 旁 路 攻击 


对 于 很 多 舱 入 式 系统 而 言 ， 攻 击 者 不 仅 可 以 通过 网 络 访问 也 可 以 实际 接近 目标 系统 。 因 
此 ， 这 些 系统 就 会 暴露 在 其 他 环境 里 不 可 能 受到 的 各 种 类 型 的 攻击 中 。 一 种 类 型 的 攻击 被 
称 为 旁 路 攻击 ， 其 在 旁 路 中 带 入 了 非法 的 信息 流 。 自 Kocher (1996) 的 开创 性 工作 以 来 ， 
使 用 不 同类 型 旁 路 的 攻击 已 经 被 证 明 ， 包括 定 时 ( Brumley and Boneh, 2005 ; Tromer et 
al.，2010 )、 功 耗 (Kocher et al.，1999 )、 故 障 ( Anderson and Kuhn，1998 ; Boneh et al., 
2001 )、 内 存 访 问 模式 (Islam et al.，2012 )、 声 音信 号 (Zhuang et al.，2009 ) 以 及 数据 剩 磁 
( Anderson and Kuhn, 1998 ; Halderman et al.，2009 ) 等 。 定 时 攻击 涉及 对 系统 时 间 行 为 的 
观察 ， 而 不 是 其 所 输出 的 值 。 功 耗 攻击 涉及 对 功 耗 的 观察 ; 一 个 尤其 有 效 的 形式 是 差分 功 耗 
分 析 (differential power analysis)， 其 对 不 同 环境 下 功 耗 进行 对 比分 析 。 在 内 存 访问 模式 攻 
击 中 ,通过 观察 被 访问 内 存 位 置 的 地 址 就 可 以 提取 出 关于 加 密 数 据 的 信息 。 故 障 攻击 通过 故 
障 注 和 人 改变 正常 的 执行 过 程 ， 从 而 引起 信息 的 泄露 

虽然 关于 旁 路 攻击 的 详细 论述 并 不 属于 本 书 的 范畴 ， 但 我 们 可 以 用 如 下 示例 来 说 明 信 息 
在 通过 一 个 定时 旁 路 时 可 能 被 泄露 。 


272 RAG 分 析 与 验证 


GERAD 考 志 示例 16.1 中 模 军 运算 函数 modexp 的 C 语言 实现 。 在 图 17-2 F, RN 
给 出 了 modexp 函数 的 执行 时 间 随 着 exponent 值 改 变 的 函数 变化 。 再 来 回顾 指数 通常 是 如 何 
5 RSA 或 Diffie-Hellman 等 公 钥 加 密 机 制 中 的 密 钥 实 现 进行 对 应 的 。 执 行 时 间 对 应 于 了 轴 
上 的 CPU 周期 ，exponent 的 取 值 范围 为 0 到 15。 该 测量 是 在 ARMv4 指令 集 的 处 理 器 上 进 
行 的 。 

请 注意 ， 有 五 个 测量 入 分 别 在 600、700、750、850 以 及 925 个 周期 左右 。 实 际 情况 表 
明 每 个 入 对 应 的 exponent 的 值 : 当 以 二 进 制 表示 时 这 些 值 中 设置 为 1 的 位 数 相同 。 例 如 ， 
对 于 1、2、4 和 8 的 执行 时 间 ( 其 每 个 都 有 一 位 被 置 为 1 )， 都 汇聚 在 700 个 CPU 周期 附近 。 

由 此 ， 仅 通过 观察 modexp 的 执行 时 间 以 及 底层 硬件 平台 的 一 些 信息 (或 者 访问 它 )， 攻 
击 者 就 能 够 推断 exponent (HHH) 中 设置 为 1 的 位 数 。 对 于 密 钥 的 暴力 列举 破解 过 程 而 言 
这 些 信息 显著 地 缩小 了 搜索 范围 。 


950 ~ T T T T T T T T + 
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| 
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图 17-2 示例 16.1 中 modexp 函数 的 时 间 特 性 数据 。 该 图 显示 modexp 函数 的 执行 时 间 (以 
CPU 周期 数 为 单位 的 y 轴 ) 如 何 随 着 4 位 exponent (x 轴 ) 的 值 的 函数 发 生 改 变 





在 示例 17.8 中 ,假设 了 攻击 者 可 以 测量 一 个 大 程序 中 的 一 小 段 代码 (如 modexp) 的 执 
行 时 间 。 这 是 现实 的 吗 ? 可 能 并 非 如 此 ,但 这 并 不 意味 着 无 法 进行 定时 攻击 。 攻 击 者 可 以 使 
用 更 为 复杂 的 方法 来 测量 函数 的 执行 时 间 。 例 如 ，Tromer 等 (2010) 证 明了 使 用 定时 攻击 
如 何 破 解 AES， 该 攻击 仅 引 起 另 一 个 进程 中 的 Cache 命中 或 未 命中 (通过 写 入 其 内 存 片 段 中 
精心 选 定 的 内 存 位 置 )， 以 及 间接 地 测量 被 攻击 进程 是 否 发 生 了 Cache 命中 或 未 命中 。 这 可 
以 让 攻击 者 知道 特定 的 表 项 是 否 在 AES 计算 过 程 中 被 使 用 ， 由 此 使 攻击 者 可 以 重 构 该 密 钥 。 

旁 路 攻击 提醒 我 们 ， 安 全 性 问题 通常 是 由 打破 系统 设计 人 员 的 假设 来 实现 的 。 在 徐 入 式 
系统 的 设计 中 ， 必 须 仔细 考虑 所 做 出 的 这 些 假 设 以 及 看 似 合理 的 那些 威胁 模型 ， 以 达到 系统 
安全 性 的 合理 级 别 。 


17.6 小结 


安全 性 与 隐私 性 现在 已 成 为 通信 式 信息 物理 融合 系统 设计 中 主要 关注 的 问题 之 一 。 本 章 
从 侧重 于 信息 物理 融合 系统 的 角度 对 安全 性 和 隐私 性 进行 了 阐述 ， 内 容 涵盖 了 加 密 与 解密 技 
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术 的 基本 密码 学 原 语 、 安 全 散 列 函 数 以 及 数字 签名 等 。 本 章 同样 阐述 了 协议 安全 性 、 软 件 安 
全 性 以 及 安全 信息 流 (这 是 贯穿 于 很 多 安全 性 与 隐私 性 子 领域 的 基本 问题 )。 最 后 ， 本 章 总 
结 了 一 些 高 级 主题 ， 主 要 包括 传感器 安全 性 和 旁 路 攻击 。 


习题 

1. 结合 示例 17.2 中 的 缓冲 区 溢出 漏洞 ， 请 修改 该 代码 以 防止 缓冲 区 溢出 。 

2. 假设 一 个 系统 M 具有 保密 输入 s、 公 开 输 入 x 以 及 一 个 公开 输出 z。 令 这 三 个 变量 均 为 布尔 型 。 请 
回答 以 下 判定 真 假 的 问题 并 说 明理 由 。 
(a) 假设 M 满足 线性 时 态 逻 辑 属性 G - =， 那么 M 一 定 也 满足 观察 确定 性 。 
(b) 假设 M 满足 线性 时 态 逻 辑 属 性 G[(s 入 加之” 习 ， 那 么 M 一 定 也 满足 观察 确定 性 。 

3. 如 下 是 一 个 具有 单 输 入 x 和 单 输出 z 的 有 限 状 态 机 ， 其 二 者 都 在 {0,1} 中 取 值 。 从 安全 的 视角 ，x 和 
z 都 被 看 作 公 开 (“ 低 级 别 ”) 信号 。 然 而 ， 有 限 状 态 机 ( 即 “ A” 或 者 “ B”) 的 状态 被 认为 是 秘密 
的 (“高 级 别 ”)。 


输入 : x: {0,1} 
输出 : z: {0,1} 
x=1/0 
x=0/1 A 
x=1/0 t 


True 还 是 False : 存在 一 个 攻击 者 可 以 采用 的 输入 序列 ， 其 可 以 告诉 攻击 者 该 状态 机 是 从 状态 
A 中 还 是 从 状态 B 中 开始 执行 。 


第 四 部 分 


Introduction to Embedded Systems: A Cyber-Physical Systems Approach, 2E 


附录 





本 部 分 包括 了 有 助 于 更 深入 地 理解 本 书 内 容 中 有 关 形 式 化 和 算法 的 一 些 数学 
和 计算 机 科学 的 背景 知识 。 附 录 A 回顾 还 辑 学 中 的 基本 符号 ， 特 别 关 注 集合 与 函 
数 。 附 录 B 则 回顾 复杂 性 和 可 计算 性 的 一 些 符号 ， 可 帮助 系统 设计 人 员 理 解 系统 
实现 的 开销 以 及 使 得 某 些 系统 不 可 实现 的 根本 性 限制 。 


附录 A | 


Introduction to Embedded Systems: A Cyber-Physical Systems Approach, 2E 
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本 附录 回顾 了 集合 与 函数 的 一 些 基本 符号 。 
A.1 集合 


在 本 节 我 们 回顾 集合 的 符号 表示 。 集 合 (set) 是 一 组 对 象 的 汇集 。 若 对 象 a 在 集合 4 
中 ， 就 记 为 a E 4。 如 下 给 出 一 些 集合 的 定义 。 

e B= {0, 1}， 二 进 制 数 集合 。 

e N= {0, 1, 2,…}， 自 然 数 集合 。 

e Z={-,-1,0, 1,…}， 整 数 集合 。 

e 及 ， 实 数 集合 。 

e 下,， 非 负 实 数 集 合 。 

当 一 个 集合 4 完全 包含 于 集合 B， 就 说 集合 4 是 集合 B 的 一 个 子 集 (subset)， 记 为 4S 
B。 例 如 , 了 SENSEZSER。 这 些 集合 可 能 是 相等 的 ， 因 此 N SN 这 一 表述 为 真 。 集 合 4 的 震 
Æ (powerset) 定义 为 所 有 子 集 的 集合 ， 记 作 247. SH (empty set)， 记 作 中 ， 通 常 是 寡 集 的 
一 个 成 员 ， 中 E2, 

对 于 所 有 集合 4 和 B， 差 集 ( set subtraction) 的 定义 如 下 。 这 个 符号 读 作 “属于 集合 4 
但 不 属于 集合 B 的 元 素 a 的 集合 ”。 

A\B={a E A:a¢gB} 

集合 4 和 B SSA -EJLAR (cartesian product) 是 一 个 集合 ， 记 为 4xB， 其 定义 如 下 。 该 
集合 中 的 成 员 (Ca, b) 被 称 为 一 个 元 组 (tuple)， 读 作 “ 由 属于 集合 4 的 元 素 a 与 属于 集合 B 
的 元 素 所 构成 的 元 组 (a,b) 的 集合 ”。 

AX B= {(a,b):a E A,b E B} 

第 卡 儿 积 可 以 由 三 个 或 更 多 的 集合 所 构成 ， 此 时 每 个 元 组 就 会 有 三 个 或 更 多 的 元 素 。 例 
如 ,我 们 可 以 记 作 (a,b,c) E 4xBxC。 集合 4 与 其 自己 的 笛 卡 儿 积 记 作 4*=4 x A, RE 
4 与 其 自己 的 n(n E N) 次 笛 卡 儿 积 记 作 4"。4" 集 合 的 一 个 成 员 被 称 为 一 个 n 元 组 。 依 惯 
例 ，A" 是 一 个 单元 素 集 (singleton set), 或 者 说 是 一 个 只 有 一 个 元 素 且 不 考虑 4 的 大 小 的 集 
合 。 具 体 而 言 ， 可 以 定义 4={ o}. BREE, dL 本 身 并 不 是 一 个 空 集 ， 它 是 一 个 包含 了 空 
集 的 单元 素 集合 (为 了 深入 理解 这 个 定义 的 基本 原理 ,请 参阅 本 附录 后 面 的 注解 栏 )。 


A.2 关系 与 函数 

从 集合 4 到 集合 B 的 一 个 关系 (relation) Æ A x B 的 一 个 子 集 。 从 集合 4 到 集合 B 的 一 
个 偏 函数 (partial function) f 是 一 个 关系 ， 即 当 (a,b) Ef A (a, b') Ef 时 有 b=b'， 这 样 的 
一 个 偏 函数 记 作 f : 4 一 8B。 从 集合 4 到 集合 B 的 一 个 全 函数 (total function) (或 简单 地 称 
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为 函数 ) f 是 一 个 偏 函 数 ， 其 对 于 所 有 的 a © 4 都 存在 一 个 bE B (a,b) Efo REN 
函数 记 为 1/ : 4 一 B， 且 集合 4 被 称 为 它 的 定义 域 ( domain),， 集合 B 被 称 为 它 的 到 达 域 ?。 
此 时 ,将 其 等 价 地 写 为 fta)=bp， 而 不 是 (a, b) E fo 


一 个 偏 函 数 的 例子 是 f : ROR, KBR Sd) =Vx (x ER.) EX. KB 
RITER R 中 任何 的 x<0 都 是 未 定义 的 。 


一 个 偏 函 数 f : A— B 可 以 由 一 条 赋值 规则 (assignment rule) 来 定义 ， 如 上 例 ， 赋 值 
规则 仅 解 释 在 给 定 a E A 时 如 何 获 得 fta) 的 值 。 或 者 ,该 函数 可 以 由 它 的 图 (graph) XE 
义 ， 该 图 是 4xB 的 一 个 子 集 。 


GW 之 前 例子 中 的 偏 函数 具有 图 /ER:， 其 定义 可 由 下 式 给 出 。 
J=) ER :x>0 有 y=Vx} 
请 注意 ， 当 讨论 的 语 境 明确 时 ， 我 们 可 以 为 该 函数 和 它 的 图 使 用 相同 的 符号 大 


所 有 函数 / : 4 一 B 的 集合 记 为 (4 一 B) 或 者 B。 当 指数 符号 难以 使 用 时 就 使 用 前 一 
个 符号 。 关 于 符号 及 的 说 明 ， 请 参见 后 文 的 注解 栏 。 
Raf: 4 一 8B 和 函数 g : 83 一 C 的 函数 组 合 (function composition) 被 记 作 (eof): 
4 一 C， 对 于 所 有 的 a © 4 有 如 下 定义 。 
(gef)(a) = g(fla)) 
请 注意 ， 在 符号 (gof) 中 ， 首 先 应 用 /函数 。 对 于 一 个 函数 1 : 4 一 4， 其 与 自身 的 复 
合 可 被 写 为 (f2f) = 广 ， 或 者 更 为 一 般 地 ， 对 于 任何 一 个 n E N， 有 如 下 定义 。 
ae 
当 n=1, f'=fo 对 于 n=0 WERE. BCS 习惯 上 称 为 恒 等 函 数 (identity function), 
因此 对 于 所 有 的 a E 4， 有 f/"(a)=a。 当 函数 的 定义 域 与 到 达 域 相同 时 ， 即 fe€ 4 ,对 于 所 
HHn EN, PEA 
对 于 每 一 个 函数 / : 4 一 B， 存 在 一 个 关联 的 象 函数 (image function) f : 242°, 其 
定义 在 4 WERE, WME. 


VA'CA, f(A) = {bE B:3a€ J’, f(a) =b} 


象 函 数 广 作用 于 定义 域 元 素 的 所 有 集合 4' 上 ， 而 不 是 单个 元 素 。 给 定 A 的 一 个 元 素 作 
为 参数 ， 其 不 是 返回 一 个 单个 值 ， 而 是 返回 /函数 所 有 返回 值 的 集合 。 我 们 将 f 称 作 /的 提 
升 版 本 。 不 存在 歧义 时 ,我们 可 以 将 了 的 提升 版 本 简单 地 写 为 /而 不 是 f (习题 2 (5b) 中 给 出 
了 一 个 有 歧义 的 情形 )。 

对 于 任何 A'CA, f(A) 被 称 为 函数 1 的 4' 的 象 (image)。 定 义 域 的 象 f(4) 被 称 为 函数 / 
HJO (range), 


GW 由 /= 定义 的 函数 三: RR Hg AR) 是 及 ,。 


© codomain， 也 译 为 陪 域 、 上 域 。 一 一 译 者 注 
O 函数 的 值 域 是 其 到 达 域 (codomain) 的 子 集 。 一 -一 译 者 注 
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如 果 f(4)=8B， WARS : 4 一 B 就 是 满 射 (onto 或 surjective) 函数 2 。 如 果 对 于 所 有 
的 aa'E4 有 式 (A.1) 成 立 ， 那么 函数 / : 4 一 B 是 一 对 一 (或 者 单 射 ) PR. 
a #a'=> fa) # fla’) (A.1 ) 
也 就 是 说 ， 定 义 域 中 两 个 不 同 的 值 不 会 在 到 达 域 中 产生 相同 的 值 。 一 个 既是 单 射 又 是 满 
射 的 函数 是 双 射 (bijective) 函数 。 


EO 由 /oO=2x 定 义 的 函数 三 : 民 一 民 是 一 个 双 射 函数 。 由 /tx)=2x 定义 的 函数 
fi Z 一 Z 是 一 个 单 射 但 非 满 射 函 数 。 由 flx, y)=xy 定义 的 函数 : ROR Zi HE BH 
函数 。 


上 例 重点 说 明了 一 个 事实 ， 一 个 函数 定义 的 必要 部 分 是 其 定义 域 和 到 达 域 。 
wR: 4 一 B 是 满 射 函数 ， 那 么 就 存在 一 个 单 射 函 数 h : B 一 4。 


证 明 今天 定义 为 nb)=a，& 是 集合 4 中 的 任 一 元 素 ， 且 使 得 Ja)=p。 因 为 了 是 满 身 
的 ， 必 然 存 在 至 少 一 个 这 样 的 元 素 。 现 在 我 们 可 以 证 明天 是 单 射 的 。 为 了 证 明 ， 考虑 任意 两 
个 元 素 b,b'EB 且 4b 关 b'。 我 们 需要 证 明 h(b) + h(b)。 相 反 地 ,假设 对 于 某 个 a E 4， 有 
hh(b)=h(b”)=a。 但 根据 及 的 定义 ， 有 fla)=b H fta)=b'， 其 表示 b=b', 147 Éo 

| 

该 命题 的 首 命 题 同样 容易 被 证 明 。 

wWRh: B 一 4 是 一 个 单 射 函 数 ， 那 么 就 会 存在 一 个 满 射 函数 /: AB, 

任何 双 射 函数 1 : 4 一 了 3 都 有 一 个 反 函 数 (inverse) f : B>A, XFAR b EB, 
其 定义 如 式 (A.2 ) 所 示 。 

f(b)=a E 4 使 得 fta)=b (A.2) 
因为 /是 满 射 的 ， 所 以 该 函数 定义 在 所 有 的 bE B 上。 因为 /是 单 射 的 ,对 于 每 一 个 


bE 8B8， 存 在 一 个 唯一 的 a © A 满足 式 (A.2)。 对 于 任何 双 射 函数 1， 它 的 反 消 数 也 是 双 射 
的 。 
限制 与 投影 

给 定 一 个 函数 1 : 4 一 有 以 及 一 个 子 集 CE4， 我们 可 以 定义 一 个 新 函数 fl。e， 其 是 函数 
了 对 C 的 一 个 限制 (restriction)。 该 定义 使 得 对 于 所 有 的 x © C， 有 /fc(x)=ftx)。 

AD’ HOA AWARS: 民 一 民 不 是 单身 函数 ， 但 fa 是 单 射 函数 。 

考虑 一 个 hn 元 组 a=(ao, ay, ***, Gy.) E 4oxA1x… x4,1)。 该 n 元 组 的 投影 projection) 
从 该 元 组 提取 元 素来 创建 一 个 新 的 元 组 。 具 体 而 言 ， 对 于 某 个 m ENO, 令 存 在 如 下 
关系 : 


I= (ig, i, °°, in) E {0, 1, 7, n—1}" 
也 就 是 说 , 1 是 一 个 索引 的 m 元 组 。 那么 ， 我们 可 以 定义 a 在 1 上 的 投影 如 下 。 


O 满 射 函 数 的 值 域 等 于 其 到 达 域 。 一 一 译 者 注 
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ma) = (a; aia a; ) E€ A XA), X e XA, 
投影 可 被 用 于 变换 、 丢 奔 或 者 重复 元 组 的 某 些 元 素 。 

元 组 的 投影 与 函数 的 限制 是 相关 的 。 对 于 一 个 nn 元 组 a E A", a=(ao 41,…, ah) 可 被 看 
fea : {0, 1,…, n-1} 一 4 的 函数 ， 其 中 a(0)=a。，a(1)=al 等 。 该 函数 的 投影 与 限制 相似 ， 
不 同 于 限制 的 是 ， 其 本 身 没有 提供 变换 、 重 复 或 者 重 编号 元 素 的 能 力 。 但 从 概念 上 ， 这 些 操 
作 相 似 ， 这 里 用 如 下 示例 进行 说 明 。 


GUE 有 一 个 3 元 组 o=(co a, a) E 和。 这 可 由 函数 4 : {0, 1, 2} 一 4 来 表示 。 令 
三 {1, 2}。 投 影 b=m(a)=(ai, a) 可 被 表示 为 函数 b : {0,1} 一 4， 其 中 b(0)=al，b(1)=a;。 

然而 ， 限 制 dl 并 不 是 与 b 完 全 相同 的 函数 。 第 一 个 函数 的 定义 域 是 {1, 2}， 而 第 二 个 
函数 的 定义 域 为 {0, 1}。 其 体 地 ，al/(1)=4b(0)=a,，al/(2)=6b(1)=a,。 


投影 可 以 像 普 通 函 数 一 样 被 提升 。 给 定 一 个 nn 元 组 BS AK A, x XA, 以 及 一 个 索引 
三 {0, 1, =, n-1}" 的 m 元 组 ， 那么 提升 的 投影 (lifted projection) 如 下 。 
® (B) = {m(b) : b © B} 


m 


A.3 序列 


元 组 (ao, ql) E 4? 可 以 被 解释 为 一 个 长 度 为 2 的 序列 。 该 序列 中 元 素 的 顺序 非常 重要 ， 
而 且 实 际 上 是 根据 自然 数 的 自然 排序 得 到 的 ， 即 数字 0 在 数字 1 之 前 。 我 们 可 以 概括 这 一 概 
念 ， 可 以 看 到 长 度 为 n 的 集合 4 中 元 素 的 序列 (sequence) 就 是 集合 A" 中 的 一 个 nn 元 组 。4" 
代表 空 序列 的 集合 ， 是 一 个 单元 素 集 ( 空 序列 只 有 一 

集合 4 中 元 素 所 组 成 的 全 部 有 限 序列 (finite sequence) 的 集合 记 为 4 ， 其 中 * 是 在 NN 
中 任何 值 上 可 以 使 用 的 通配符 。 该 集合 中 长 度 为 n 的 成 员 是 一 个 n 元 组 ， 是 一 个 有 限 序 列 。 

集合 4 中 元 素 组 成 的 所 有 无 限 序列 (infinite sequence) 的 集合 记 为 AY ey A’. AMM 
无 限 序列 的 集合 记 为 如 下 形式 。 


A =A UA 
有 限 和 无 限 序 列 在 并 发 程序 的 语义 中 具有 重要 作用 。 例 如 ， 它 们 可 被 用 于 代表 从 程序 某 
个 部 分 发 送 至 另 一 部 分 的 消息 流 。 或 者 表示 对 一 个 变量 的 连续 赋值 。 对 于 终 将 结束 的 程序 ， 
有 限 序列 已 经 足够 了 。 对 于 不 会 终止 的 程序 ， 才 需要 使 用 无 限 序 列 。 













函数 集 的 指数 符号 

对 于 形 如 三: 4 一 B 的 函数 集合 ， 需 要 解释 指数 符号 BI?。 回 顾 A 是 集合 4 与 其 
自身 的 笠 卡 儿 积 ，2? 是 集合 4 的 种 集 。 这 两 个 符号 本 质 上 都 被 认为 是 函数 的 集合 。 约 
翰 . 冯 ， 诺 依 曼 提 出 的 结构 将 自然 数 定义 为 如 下 形式 。 









0= 中 
1= {0} ={o} 
2= {0,1} ={6, {p} 


3= {0,1,23={b, {中 }, 16, ibi 









基于 这 一 定义 ， 震 集 24 是 将 集合 4 映射 到 集合 2 的 函数 的 集合 。 给 定 一 个 函数 
JE 24， 其 对 于 每 个 wQ E 4， 要么 fla)=0， 要 么 fta)=1。 如 果 我 们 说 “0” 意 味 着 “ 非 成 
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员 ” 且 “1” 意 味 着 “成 员 ”， 那 么 ， 函 数 的 集合 2 就 的 确 代 表 了 4 的 所 有 子 集 的 集合 。 
每 个 这 样 的 函数 都 被 定义 为 一 个 子 集 。 

žm, FULBE 可 被 解释 为 1 : 2 一 4 形式 函数 的 集合 ， 或 者 使 用 冯 “' ER 
ZR: {0, 1} 一 4。 假 设 一 个 元 组 a=(ao, a) EF, 其 本 质 上 与 函数 a : {0, 1 一 4 
相关 联 ， 其 中 ，a(0)=ao 且 a(1)=a1。 该 函数 的 参数 是 元 组 中 的 索引 。 现 在 ,我 们 可 以 将 
:4 一 B 形 式 函 数 的 函数 集合 B 解释 为 一 个 由 集合 4 而 不 是 自然 数 实现 索引 的 元 组 的 
集合 。 

令 @={ 中 ,{ 中 },{ 中 ,{ 中 )}, …} A + 诺 依 曼 数 (von Neumann number) 的 集合 。 
该 集合 与 自然 数 集合 有 紧密 联系 (见习 题 2 )。 给 定 一 个 集合 4， 现 在 就 可 以 自然 地 将 
A 解释 为 由 A 中 元 素 所 组 成 的 所 有 无 限 序列 的 集合 ， 等 同 于 4*。 

现在 ， 可 以 将 单元 素 集 妈 解释 成 定义 域 为 空 集 、 到 达 域 为 4 的 所 有 函数 的 集合 。 
确切 地 讲 ， 只 存在 一 个 这 样 的 函数 (不 存在 两 个 不 同 的 这 样 的 函数 )， 且 该 函数 有 一 个 空 
图 。 之前， 我 们 已 经 定义 了 4"={ 中 }。 使 用 冯 ， 诺 依 曼 数 ，A"=1， 这 很 好 地 对 应 了 普通 
数 的 零 次 圭 。 另 外 ， 可 以 将 4={ 中 } 当 作 具 有 空 图 的 所 有 函数 的 集合 。 在 文献 中 ， 习 惯 
上 忽略 全、2 和 二 的 加 粗 字 体 ， 而 是 简单 地 写作 A’, 24 和 A’, 





习题 
1. 本 题 探 讨 满 射 和 单 射 函数 的 属性 。 
(a) 请 证 明 ， 如 果 f : A> BEHE g : BO C 也 是 满 射 的 ,那么 (gof) : A> C 就 是 满 射 的 。 
(b) EH, WRS: 4 一 了 是 单 射 的 且 g : BO C 也 是 单 射 的 ,那么 (gof) : 4 一 C 就 是 单 射 的 。 
2. 令 w={ 中 ,{ 中 },{ 中 ,{ 中 }}, …} 表示 汉 : 诺 依 曼 数 ， 如 本 附录 注解 栏 中 定义 。 本 题 探讨 该 集合 与 自然 
数 集合 N 之 间 的 关系 。 
(a) (URES: o 一 NN 定义 为 如 下 形式 。 
A(x) = kxl, xE 
也 就 是 说 ，ftx) 是 集合 x 的 大 小 。 请 证 明 /是 一 个 双 射 函数 。 
(b) 本 题 (a) 中 函数 7 的 提升 版 本 记 为 六 那么，f({0,{0}}) 的 值 是 什么 ? A{0,{0}}) 的 值 是 什么 ? 
请 注意 ， 在 附录 A 曾 提 及 ， 没 有 歧义 时 广 可 被 记 作 广 对 于 本 函数 ， 是 否 存在 歧义 ? 


| 附录 B 
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复杂 性 与 可 计算 性 





复杂 性 理论 ( complexity theory) 和 可 计算 性 理论 ( computability theory) 是 研究 效率 和 
计算 限制 的 计算 机 科学 领域 。 通 俗 地 讲 ， 可 计算 性 理论 研究 计算 机 可 以 解决 哪些 问题 ， 而 复 
杂 性 理论 则 研究 计算 机 可 以 多 么 高 效 地 解决 一 个 问题 。 两 个 领域 都 是 以 计算 为 中 心 的 ， 表 示 
它们 更 多 地 关注 于 问题 固有 的 难 易 程度 ， 较 少 关注 解决 这 些 问 题 的 具体 技术 (算法 )。 

在 本 附录 中 ,我们 将 简要 地 阐述 与 本 书 相 关 的 一 些 复 杂 性 和 可 计算 性 主题 。 关 于 这 些 主 
题 有 很 多 优秀 的 书籍 ， 如 Papadimitriou (1994), Sipser ( 2005 ) 和 Hopcroft 等 (2007) 等 。 
我 们 将 从 讨论 算法 的 复杂 性 开始 。 算 法 是 由 计算 机 程序 实现 的 ， 我们 将 阐明 计算 机 程序 所 能 
做 的 还 存在 着 一 些 限制 。 之 后 ， 我 们 将 讨论 图 灵机 ， 其 可 被 用 来 定义 我 们 接受 的 “计算 ”， 
并 说 明 程序 的 局 限 性 如 何 使 其 成 为 不 可 判定 的 问题 。 最 后 ， 我 们 以 讨论 问题 的 复杂 性 结束 。 
注意 ， 问 题 的 复杂 性 有 别 于 解决 问题 的 算法 的 复杂 性 。 


B.1 算法 的 有 效 性 与 复杂 性 


算法 (algorithm) 是 用 于 逐步 解决 一 个 问题 的 过 程 。 为 了 让 算法 是 有 效 的 (effective )， 
一 个 算法 必须 在 有 限 步 之 内 完成 并 使 用 有 限 数量 的 资源 (如 内 存 )。 为 了 让 算法 是 有 用 的 
(Cuseful)， 一 个 算法 必须 在 合理 的 步 数 内 完成 并 使 用 合理 数量 的 资源 。 当 然 ， 什 么 是 “合理 
的 ”将 取决 于 需要 解决 的 问题 。 

有 些 问 题 被 认为 尚 不 存在 有 效 的 算法 ， 我 们 讨论 不 可 判定 性 时 将 会 看 到 这 些 问题 。 对 于 
其 他 问题 ， 已 存在 一 个 或 多 个 有 效 的 算法 ， 但 并 不 清楚 是 否 已 经 根据 某 个 “最 佳 ”测量 依据 
找到 了 最 佳 算法 。 甚 至 还 有 一 些 问 题 ， 我 们 知道 存在 一 个 有 效 算 法 ,但 仍 没 有 找到 这 个 有 效 
的 算法 。 以 下 示例 讨论 这 样 一 个 问题 。 


GED 有 一 个 函数 / : N 一 {YES, NO}， 如 果 在 的 小 数 表示 中 存在 n 个 连续 5 的 
序列 ，ftn)=YES， 否 则 ，ftn)=NO。 该 函数 是 以 下 两 种 形式 之 一 。 
fin) = YES VnEN 
或 者 ， 存 在 一 个 上 KE N， 使 得 下 式 成 立 。 


YES 如 果 n<k 
NO 其 他 


我 们 并 不 清楚 哪 一 种 形式 是 正确 的 ,或 者 如 果 第 二 种 形式 是 正确 的 , 上 应 该 是 多 少 。 然 
而 无 论 是 哪个 答案 ， 都 存在 求解 该 问题 的 一 个 有 效 算法 。 实 际 上 ， 该 算法 相当 简单。 要 么 算 
法 立即 返回 一 个 YES,， 或 者 将 n 与 进行 比较 ， 如 果 n<k 就 返回 YES。 我 们 知道 其 中 的 一 
个 是 正确 的 算法 但 是 我 们 并 不 清楚 是 哪 一 个 。 所 以 ， 只 是 知道 有 一 个 是 正确 的 并 不 足以 知 
道 存在 一 个 有 效 的 算法 。 
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对 于 有 已 知 有 效 算法 的 问题 ， 通 常会 存在 许多 解决 该 问题 的 算法 。 一 般 而 言 ， 我 们 更 加 
倾向 于 复杂 性 更 低 的 算法 。 那 么 ,我 们 如 何在 这 些 算法 中 进行 选择 ?在 下 一 小 节 中 我 们 将 对 
此 进行 讨论 。 

大 O 符号 
许多 问题 都 具有 多 个 已 知 的 求解 算法 ， 如 下 例 所 述 。 


GEP 假设 有 一 个 升序 排列 的 n 个 整数 的 列表 (aa, …, an)， 我 们 想 要 确定 该 列表 
中 是 否 包 含 了 一 个 特定 的 整数 bp。 以 下 两 个 算法 可 以 解决 这 个 问题 。 

1) 使 用 线性 搜索 法 (linear search )。 从 该 列表 的 起 始 处 开始 ， 将 输入 与 列表 中 的 每 
个 项 进行 比较 。 如 果 相 等 就 返回 YES。 和 否则 ， 与 列表 中 的 下 一 项 进行 比较 。 在 最 坏 情 况 下 ， 
算法 在 给 出 结果 之 前 要 进行 n 次 比较 。 

2) 使 用 折 半 查找 法 (binary search)。 从 列表 的 中 间 开 始 ， 用 b 和 列表 的 中 间 项 a, 
行 比 较 。 如 果 相 等 ， 返 回 YES， 和 否则 判断 是 否 bamn 如 果 是 ， 仅 在 该 列表 的 前 半 段 上 重复 
该 搜索 ， 和 否则 在 该 列表 的 后 半 段 上 重复 该 搜索 。 即 使 该 算法 的 每 一 步 都 比 第 一 个 算法 的 步骤 
复杂 ， 但 所 需 的 步骤 通常 更 少 。 在 最 坏 情 况 下 ， 共 需要 log(n) 步 。 

如 果 半 是 一 个 很 大 的 数 ， 这 两 个 算法 的 差异 就 非常 显著 了 。 假 设 4096， 第 一 个 算法 
在 最 坏 情况 下 需要 执行 4096 步 ， 而 第 二 个 算法 在 最 坏 情况 下 仅 需 要 执行 12 步 。 


一 个 算法 所 需要 执行 的 步 数 是 算法 的 时 间 复 杂 度 (time complexity)。 在 对 比 算法 时 ， 习 
惯 上 会 通过 忽略 某 些 细节 来 简化 时 间 复 杂 度 的 评价 。 在 前 一 个 例子 中 ， 我 们 可 以 忽略 算法 每 
一 步 的 复杂 度 ， 仅 考虑 该 复杂 度 随 着 输入 规模 元 如 何 增长 。 因 此 ， 如 果 示 例 B.2 中 的 算法 1 
的 执行 花费 Kin 秒 ， 目 算法 2 的 执行 需要 K logn) 秒 ， 我 们 通常 会 忽略 常数 因子 K 和 K,。 
就 一 个 大 数 n 而 言 ， 这 些 常 数 因子 通常 对 于 确定 哪个 算法 更 优 并 不 是 很 重要 。 

为 了 方便 这 样 的 比较 ， 通常 使 用 大 O 符号 。 对 于 那些 大 的 输入 ,该 符号 找 出 时 间 复 杂 
度 测量 中 随 着 输入 规模 变化 增长 最 快 的 项 ， 并 忽略 所 有 其 他 项 。 另 外 ， 其 丢弃 了 该 项 中 的 所 
有 常数 因子 。 这 样 的 一 个 度量 是 渐 近 复杂 度 (asymptotic complexity) 度量 ， 因 为 其 仅 是 输入 
规模 增加 时 的 极限 增长 率 。 


GE 侵 设 一 个 算法 的 时 间 复杂 度 为 S+2n4+77， 其 中 恬 是 输入 的 大 小 。 那 么 ， 就 可 
以 说 该 算法 具有 OC) 时 间 复 杂 度 ， 读 作 “n 的 立方 阶 ”。7m 项 随 着 丑 的 增加 增长 最 快 ， 且 
系数 7 是 相对 并 不 重要 的 常数 因子 。 


如 下 列 出 一 些 常用 的 时 间 复 杂 度 度量 。 

1 ) 常数 时 间 (constant time): 时 间 复 杂 度 完全 不 取决 于 输入 的 大 小 ， 复 杂 度 为 0(1)。 
2) 对 数 时 间 (logarithmic time): 对 于 任何 常数 m, RAEN O(log,(n))。 

3 ) 线性 时 间 (linear time): 复杂 度 为 O(n). 

4) 平方 时 间 (quadratic time); 复杂 度 为 O(n )。 

5) 多 项 式 时 间 (polynomial time): 对 于 任何 常数 m EN， 复 杂 度 为 O(n"). 

6 ) 指数 时 间 (exponential time); 对 于 任何 m>1， 复 杂 度 为 O(m")。 

7) 阶乘 时 间 (factorial time): 复杂 度 为 O(n!)。 

以 上 复杂 性 度量 按照 开销 的 递增 排列 。 靠 后 的 算法 通常 较 靠 前 的 算法 具有 更 大 开销 ， 至 
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少 对 于 大 数 n 而 言 是 这 样 的 。 


GUEL 示例 B.2 中 的 算法 1 是 一 个 线性 时 间 算法 ， 而 算法 2 则 是 一 个 对 数 时 间 算 
法 。 对 于 大 数 n， 算 法 2 更 为 高 效 。 

当然 ， 一 个 算法 需要 的 步 数 并 不 是 衡量 其 开销 的 唯一 指标 。 一 些 算 法 仅 执行 很 少 的 步 
数 ， 但 可 能 会 需要 相当 大 的 内 存 空 间 。 所 需要 的 内 存 大 小 可 以 类 似 地 用 大 0 符号 来 刻画 ， 
从 而 给 出 空间 复杂 度 (space complexity) 的 评价 。 


B.2 问题、 算法 与 程序 


算法 是 用 来 解决 问题 的 。 我 们 如 何 知 道 是 否 已 经 找到 解决 问题 的 最 佳 算法 ? 虽然 可 以 比 
较 已 知 算法 的 时 间 复 杂 度 ,但 还 有 没有 我 们 尚未 想到 的 算法 呢 ? 是 否 存在 无 算法 可 解 的 问 
RA? 这 些 都 堪 称 难题 。 

假设 一 个 算法 的 输入 是 所 有 可 能 输入 的 集合 不 的 一 个 成 员 ， 而 输出 是 所 有 可 能 输出 的 
集合 Z 的 一 个 成 员 。 该 算法 计算 一 个 函数 1 : 一 Z。 函 数 f 是 一 个 数学 对 象 ， 就 是 一 个 待 
解 的 问题 (problem)， 而 算法 则 是 解决 该 问题 的 机 制 (mechanism), 

理解 问题 和 机 制 之 间 的 区 别 非常 重要 。 很 多 不 同 的 算法 可 以 解决 相同 的 问题 ， 有 些 算 法 
将 比 其 他 的 要 更 好 ， 如 一 个 算法 可 能 较 其 他 算法 具有 更 低 的 时 间 复 杂 度 。 以 下 说 明 两 个 值得 
讨论 的 问题 。 

e 是 否 存在 f : 一 Z 形 式 的 函数 ,没有 算法 能 够 在 其 所 有 输入 w E W ER fK 

数 ? 这 是 一 个 可 计算 性 问题 。 
e 假设 一 个 特定 函数 1 : 丈 一 Z， 计 算 该 函数 的 算法 是 否 存在 一 个 时 间 复 杂 度 的 下 界 ? 
这 是 一 个 复杂 性 问题 。 

如 果 丈 是 一 个 有 限 集 ， 那 么 第 一 个 问题 的 答案 显然 是 否定 的 。 对 于 一 个 特定 函数 
f: W 一 Z， 一 个 永远 运行 的 算法 可 使 用 查找 表 来 列 出 所 有 w E 丈 对 应 的 ,fw)。 给 定 一 个 
输入 w E ,该 算法 可 简单 地 在 该 表 上 查找 答案 。 这 是 一 个 常数 时 间 算 法 ， 其 仅 需 要 一 
步 执行 一 个 表 查 找 。 因 此 ， 该 算法 为 第 二 个 问题 提供 了 答案 ， 如 果 下 是 一 个 有 限 集 ， 
那么 最 低 时 间 复 杂 度 是 一 个 常数 时 间 。 

查找 表 算 法 可 能 并 非 最 佳 选 择 ， 即 使 其 时 间 复 杂 度 是 常数 。 假 设 下 是 全 部 32 位 整数 的 

合 。 这 是 一 个 有 2 ”个 元 素 的 有 限 集合 ， 因 此 该 表 将 会 有 超过 四 十 亿 的 表 项 。 除 了 时 间 复 
RE, 我们 还 必须 考虑 实现 算法 所 需 的 内 存 大 小 。 

当 输 入 集合 不 是 无 限 的 ， 上 述 这 些 问 题 就 变 得 特别 值得 思考 了 。 这 里 我 们 聚焦 于 判定 
问题 (decision problem)， 即 两 个 元 素 的 集合 Z={YES,NO}。 一 个 判定 问题 为 每 一 个 wE 到 
寻找 一 个 是 或 否 的 答案 。 一 个 最 简单 的 输入 无 限 集 是 WN， 即 自然 数 集合 。 由 此 ， 我 们 接 
下 来 考虑 f : N 一 {YES, NO} 形式 判定 问题 上 的 基本 限制 。 我 们 会 看 到 对 于 该 类 问题 ， 上 
述 第 一 个 问题 的 答案 是 存在 。 也 就 是 说 ， 存 在 该 形式 的 、 不 可 计算 的 函数 。 


程序 的 基本 限制 


描述 算法 的 一 种 方式 是 给 出 一 个 计算 机 程序 。 计 算 机 程序 通常 可 以 被 表示 为 集合 {0,1} 
的 一 个 成 员 ， 即 有 限 数位 序列 的 集合 。 编 程 语言 ( programming language) 是 {0,1} 的 一 个 
子 集 。 实 践 证 明 ， 并 非 所 有 的 判定 问题 都 能 用 计算 机 程序 来 求解 。 
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GEED 没有 任何 编程 语言 能 够 为 每 一 个 形式 是 : N- {YES NO} 的 函数 给 出 一 个 
程序 。 


证 明 为 了 证 明 这 个 命题 , 证 明 f : N— {YES,NO} 形式 的 函数 严格 多 于 基于 编程 语言 
的 程序 就 足够 了 。 从 而 ， 证明 集合 {YES,NO}" 严格 大 于 集合 (01) 即 可 ， 因 为 编程 语言 是 
{0,1} 的 一 个 子 集 。 这 可 以 用 德国 数学 家 康 托 尔 的 对 角 论 证 法 (diagonal argument， 或 译 为 
对 角 线 法 ) 的 一 个 变 体 来 实现 ， 如 下 。 
首先 ， 请 注意 可 以 顺序 列 出 集合 {0,1} 的 元 素 。 具 体 而 言 ， 我 们 以 二 进 制 数 的 顺序 列 出 
RETR, WA (B.1 )， 其 中 入 为 空 序列 。 这 个 列表 是 无 限 的 ， 但 是 其 包括 了 集合 {0,1} 的 
所 有 元 素 。 因 为 该 集合 的 元 素 可 以 被 这 样 列 出 ， 就 说 集合 {0,1} ZARA (countable) 或 者 
可 数 无 限 的 (countably infinite). 
A, 0, 1, 00, 01, 10, 11, 000, 001, 010, O11, … (B.1) 
对 于 任何 编程 语言 ， 每 个 可 以 被 写 出 的 程序 将 出 现在 列表 〈B.1 ) 中 的 某 个 位 置 。 假 设 
该 列表 中 的 第 一 个 这 样 的 程序 实现 判定 函数 : N 一 {YES,NO}， 该 列表 中 的 第 二 个 函数 
实现 了 : N 一 {YES,NO} 等 。 现 在 ,我们 可 以 构造 一 个 函数 g : N 一 {YES,NO}， 其 不 
能 被 列表 中 的 任何 程序 计算 。 具 体 来 说 ， 对 于 所 有 的 iE N， 函 数 g 定义 如 下 : 
、 [YES 如 果 f(i)=NO 
s0-{o 如 果 fi) = YES 
函数 g 不 同 于 列表 中 的 每 个 函数 有 ， 由 此 它 不 包括 在 该 列表 中 。 所 以 ;没有 基于 该 语言 
的 计算 机 程序 来 计算 函数 g。 
| 
该 理论 告诉 我 们 ， 程 序 以 及 算法 并 不 能 求解 所 有 判定 性 问题 。 接 下 来 我 们 将 探讨 它们 可 
求解 的 问题 ， 称 为 有 效 可 计算 (effectively computable) 函数 。 这 里 使 用 图 灵机 来 展开 讨论 。 


B.3 图 灵机 与 不 可 判定 性 


1936 年 ， 阿 兰 ' 图 灵 (1936) 提出 了 一 个 计算 模型 ， 之 后 被 称 为 图 灵机 (Turing 
machine)。 如 图 B-1 所 示 ， 图 灵机 类 似 于 一 个 有 限 状 态 机 ， 但 是 具有 无 限 大 的 存储 器 。 该 存 
储 器 的 形式 是 图 灵机 可 以 读 写 的 无 限 长 纸 带 。 图 灵机 包含 一 个 有 限 状 态 机 控制 器 、 一 个 读 写 
头 以 及 一 条 划分 为 格子 序列 的 无 限 长 纸 带 。 每 个 格子 包含 了 一 个 从 有 限 集 z 中 提取 的 值 或 者 
表示 空白 的 特定 值 “ 口 "。 有 限 状 态 机 通过 产生 输出 控制 读 写 头 在 纸 带 上 移动 。 


读 写 头 





图 .B-1 图 灵机 原理 


在 图 B-1 中 ， 纸 带 非 空格 子 上 的 符号 是 从 集合 2={0,1} 中 提取 的 二 进 制 数 。 该 有 限 状 态 
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机 有 两 个 输出 端口 。 上 部 的 输出 是 写 输出 端口 ， 其 类 型 为 工 且 输出 一 个 要 写 到 读 写 头 当 前 位 
置 格子 的 值 。 下 部 的 输出 端口 是 移动 端口 ， 其 类 型 为 {L,R} ， 输 出 符号 工 使 得 读 写 头 向 左 移 
动 〈 但 不 越过 纸 带 的 开始 位 置 )， 符 号 尺 使 得 读 写 头 向 右 移动 。 该 有 限 状 态 机 有 一 个 输入 端 
口 ， 即 读 端口 ， 其 类 型 为 并 接收 读 写 头 下 方 格子 上 的 当前 值 。 

初始 时 ， 纸 带 上 有 一 个 输入 串 (input string)， 其 是 集合 工 中 元 素 组 成 的 有 限 序列 的 集 
Er 的 一 个 元 素 ， 且 该 串 之 后 是 空白 格 的 无 限 序 列 。 图 灵机 从 有 限 状态 机 的 初始 状态 启动 ， 
读 写 头 位 于 纸 带 的 最 左 端 。 在 每 一 个 啊 应 中 ， 有 限 状态 机 从 当前 读 写 头 下 方 格子 接收 输入 
值 ， 并 产生 一 个 设 定 该 格子 新 值 的 输出 〈 其 可 能 与 当前 值 相等 )， 以 及 一 个 向 左 或 向 右 移动 
读 写 头 的 命令 。 

该 图 灵机 的 控制 有 限 状态 机 有 两 个 最 终 状态 : 一 个 接受 状态 (accept) 和 一 个 拒绝 状态 
(reject)。 如 果 图 灵机 在 有 限 数 量 的 响应 之 后 到 达 accept 或 者 reject 状态 ， 那 么 就 说 它 终 止 
(terminate)， 而 且 该 执行 被 称 为 停机 计算 (halting computing)。 如 果 它 在 accept 状态 终止 ， 
该 执行 被 称 为 一 个 接受 计算 ; 如 果 在 reject 状态 终止 ， 就 称 该 执行 为 一 个 拒绝 计算 。 图 灵机 
也 可 能 既 不 到 达 accept 状态 也 不 到 达 reject 状态 ， 这 意味 着 图 灵机 不 会 停机 。 此 时 ， 就 说 图 
灵机 在 循环 。 

当 该 有 限 状 态 机 是 确定 性 的 ， 就 说 图 灵机 也 是 确定 性 的 。 给 定 一 个 输入 串 w ED", fh 
定性 图 灵机 D 将 呈现 出 唯一 的 计算 结果 。 因 此 ， 给 定 一 个 输入 串 w E ,确定 性 图 灵机 DD 
将 要 么 停机 ， 要 么 不 停机 ， 而 且 如 果 它 停机 ， 其 将 要 么 接受 w， 要么 拒绝 。 为 了 简单 起 见 ， 
除非 给 出 明确 说 明 ， 我 们 在 本 节 限 定 为 确定 性 图 灵机 。 


B.3.1 图 灵机 结构 


更 为 形式 化 地 ， 每 个 确定 性 图 灵机 (deterministic Turing machine) 可 以 被 表示 为 一 个 符 
号 集 与 状态 机 对 即 D = (2, M)， 其 中 王 是 一 个 有 限 符 号 集 ，M 是 遵从 如 下 属性 的 任何 有 限 状 
态 机 : 

© 一 个 有 限 集合 Statesw， 其 包括 两 个 结束 状态 accept 和 reject. 

。 一 个 类 型 为 工 的 输入 端口 read; 

。 一 个 类 型 为 工 的 输出 端口 write。 

e 一 个 类 型 为 {L,R} 的 输出 端口 move. 

与 任何 有 限 状 态 机 一 样 ， 其 还 必须 具有 一 个 初始 状态 so 以 及 一 个 迁移 函数 update, (如 
3.3.3 节 所 述 )。 如 果 读 写 头 在 内 容 为 “ 口 ” 的 格子 上 方 ， 那 么 到 有 限 状 态 机 read 端口 的 输入 
就 是 abpsent。 如 果 在 一 个 响应 中 ， 有 限 状态 机 的 write 输出 为 absent, WARES A F EK 
子 将 被 擦 除 ， 将 其 内 容 设置 为 “ 口 ”。 

H D = (2, M) 描述 的 图 灵机 是 有 限 状态 机 M 和 纸 带 T 这 两 个 状态 机 的 同步 组 合 。 纸 带 7 
无 疑 并 非 一 个 有 限 状态 机 ， 因 为 其 并 非 拥有 有 限 个 状态 。 尽 管 如 此 ， 纸 带 仍 然 是 一 个 (扩展 
AY) 状态 机 ， 而 且 可 使 用 3.3.3 节 中 为 有 限 状 态 机 使 用 的 相同 五 元 组 来 进行 描述 ， 除 了 集合 
States, 现在 是 无 限 的 。 纸 带 上 的 数据 可 以 被 建 模 为 定义 域 为 N、 到 达 域 为 ZU { 口 } 的 一 个 
函数 ， 而 且 ， 读 写 头 的 位 置 可 被 建 模 为 一 个 自然 数 ， 由 此 

States,=NX(ZU {OY 

状态 机 了 具有 类 型 为 工 的 输入 端口 write、 类 型 为 {L,R} 的 输入 端口 move， 以 及 类 型 为 

z 的 输出 端口 read。 现 在 ， 迁移 函数 update, 就 易于 被 形式 化 地 定义 了 (见习 题 1 )。 
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请 注意 状态 机 了 对 于 所 有 图 灵机 都 是 相同 的 ， 因 此 就 不 需要 将 其 包括 在 一 个 特定 的 图 灵 
机 表示 = (Z, M) 中 。D 可 以 被 理解 为 以 相当 特殊 的 编程 语言 编写 的 程序 。 由 于 图 灵机 形式 
化 表示 中 的 所 有 集合 都 是 有 限 的 ， 所 以 任何 图 灵机 都 可 被 编码 为 由 集合 {0,1} 中 的 位 所 组 成 
的 一 个 有 限 序 列 。 

尽管 控制 有 限 状态 机 M 以 及 纸 带 状态 机 7 两 者 都 产生 输出 ,但 是 图 灵机 本 身 并 不 产生 
输出 。 其 仅 是 控制 有 限 状 态 机 在 状态 间 进 行 迁移 、 更 新 纸 带 以 及 向 左 (CL) 或 向 右 (R) 移动 
来 进行 计算 。 在 任何 输入 串 wk, 我们 仅 关 心 图 灵机 是 否 停 机 、( 而 如 果 是 的 话 ) 其 是 接受 
还 是 拒绝 w。 由 此 ， 图 灵机 尝试 把 一 个 输入 串 w © r 映射 到 {accept, reject}, 但 对 于 某 些 
输入 串 ， 其 有 可 能 不 会 产生 一 个 结果 。 

现在 我 们 就 看 到 命题 B.1 是 适用 的 ， 而 且 图 灵机 不 能 在 某 些 输入 串 上 产生 结果 这 一 事 
实 也 并 不 令 人 惊讶 。 令 = {0,1}， 那 么 任何 输出 串 w E 可 以 被 解释 为 N 中 一 个 自然 数 
的 二 进 制 编码 。 由 此 ， 图 灵机 实现 了 一 个 形式 为 f : N 一 {accept, reject) 的 偏 函 数 。 该 函 
数 是 偏 函 数 ， 是 因为 对 于 某 些 n E N， 状 态 机 可 能 会 循环 。 因 为 图 灵机 是 一 个 程序 ， 命 题 
B.1 断定 图 灵机 不 能 实现 形式 为 : N 一 faccept, reject) 的 所 有 函数 。 这 种 限制 本 身 表 现 为 
循环 。 

ERA - 图 灵 论题 ?是 计算 机 科学 的 核心 原理 之 一 ， 其 断定 每 一 个 有 效 可 计算 的 函数 都 可 
以 用 一 个 图 灵机 来 实现 。 该 原理 使 用 美国 数学 家 Alonzo Church 和 英国 计算 机 科学 家 Alan 
Turing 的 名 字 命 名 (阿兰 图 灵 同 时 也 是 数学 家 、 逻 辑 学 家 、 密 码 分 析 学 家 和 理论 生物 学 
家 )。 正 如 当今 的 计算 机 所 体现 的 ， 直 观 的 计算 概念 相当 于 这 种 意义 上 的 图 灵机 计算 模型 。 
计算 机 可 以 完全 实现 图 灵机 所 能 实现 的 功能 : 不 多 也 不 少 。 算 法 的 非 形式 化 概念 和 精确 的 图 
灵机 计算 模型 之 间 的 这 种 联系 不 是 一 个 定理 : 其 不 能 被 证 明 。 它 是 一 个 原理 ， 是 我 们 所 讨论 
计算 的 基础 。 


B.3.2 可 判定 与 不 可 判定 问题 


如 本 部 分 所 讨论 的 ， 图 灵机 被 设计 来 解决 结果 仅 为 YES 或 NO 的 判定 问题 。 图 灵机 的 
输入 串 代 表 了 问题 实例 (problem instance) 的 编码 。 如 果 图 灵机 接受 编码 ， 其 被 看 作 一 个 
YES 结果 ， 如 果 图 灵机 拒绝 ， 甚 被 看 作 NO 结果 。 存 在 的 第 三 种 可 能 性 是 图 灵机 循环 。 


GID 考虑 确定 性 问题 ， 给 定 一 个 有 向 图 G， 图 G 中 有 两 个 结 点 s 和 t+， 是 否 存 在 
一 条 从 s 到 的 路 径 。 读 者 可 能 想到 将 该 问题 写成 一 个 列 出 G 的 所 有 结 点 和 边 的 串 ， 其 后 
是 s 和 ft 由 此 ， 该 路 径 问 题 的 一 个 实例 可 以 以 图 灵机 纸 带 上 的 输入 串 呈 现 给 图 灵机 。 该 问 
题 的 这 一 实例 是 特定 的 图 G 以 及 结 点 s 和 t。 如 果 在 图 G 中 存在 一 条 从 s 到 上 的 路 径 ， 那 么 ， 
这 就 是 一 个 YES 问题 实例 ;， 否则， 就 是 一 个 NO 问题 实例 。 

图 灵机 通常 被 用 于 解决 问题 ， 而 不 是 指定 问题 实例 。 在 本 例 中 ,我 们 一 般 设 计 一 个 图 灵 
机 ， 其 对 于 任何 图 G 以 及 结 点 8 和 +t， 确定 是 否 在 图 G 中 存在 一 条 从 s 到 + 的 路 径 。 


如 前 所 述 ， 判 定 问题 是 一 个 函数 f : W— {YES, NO}。 对 于 一 个 图 灵机 ， 定 义 域 是 由 
集合 三 中 符号 所 构成 有 限 序列 的 集合 于 E55。 问题 实例 是 一 个 特定 的 w EW, HEME, 
问题 的 “结果 ”要 么 是 ftw)=YES， 要么 是 ftw)=NO。 令 Yc TW 表示 问题 的 所 有 YES 实例 
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的 集合 ， 定 义 如 下 。 
Y= {w E W| fiw) = YES} 

给 定 一 个 判定 问题 /， 如 果 图 灵机 D = (2, M) 接受 每 个 串 w E 了 且 拒 绝 每 个 w E WY 
(其 中 “\” 表 示 集 合 减法 )， 那 么 D 被 称 为 1 的 判定 程序 。 请 注意 ， 对 于 任何 输出 串 w EW, 
判定 程序 总 会 停机 。 

对 于 一 个 问题 /， 如 果 存 在 一 个 图 灵机 是 了 的 判定 程序 ， 就 说 f 是 可 判定 的 (或 者 可 解 
的 )。 否 则 ， 我 们 说 该 问题 是 不 可 判定 的 (或 者 不 可 解 的 )。 对 于 一 个 不 可 判定 问题 /， 以 及 
所 有 的 输入 串 w E 下， 不 存在 能 以 正确 结果 ftx) 终止 的 图 灵机 。 

在 20 世纪 ， 数 学 和 计算 机 科学 领域 中 的 一 个 重要 哲理 性 结论 就 是 不 可 判定 问题 的 存在 
性 。 要 被 证 明 为 不 可 判定 的 重要 问题 之 一 就 是 所 谓 的 图 灵机 停机 问题 (halting problem), VA 
下 给 出 该 问题 的 描述 : 

给 定 一 个 以 纸 带 上 的 输入 串 W E LD 初始 化 的 图 灵机 DD= (5, M)， 判 定 M 是否 会 停机 。 


(Turing, 1936) 停机 问题 是 不 可 判定 的 。 


证 明 这 是 一 个 判定 问题 h : W'— {YES, NO}, HP W' 表 示 所 有 图 灵机 及 其 输入 的 
集合 。 该 命题 可 用 康 托 尔 对 角 论 证 法 的 一 个 变 体 来 证 明 。 

HAA HARES E = {0,1} 的 图 灵机 子 集 证 明 该 定理 就 足够 了 。 另 外 ， 我 们 可 以 
不 失 普 遍 性 地 假设 该 集合 中 的 每 个 图 灵机 可 以 被 表示 为 一 个 二 进 制 数 的 有 限 序列 ， 由 此 W 
表示 为 如 下 形式 = 

W'=¥ xI 

进一步 假设 二 进 制 位 的 每 个 有 限 序 列表 示 了 一 个 图 灵机 ， 那 么 ， 判 定 问 题 的 形式 就 可 以 

表示 为 
h : XXX’ 一 {YES NO} (B.2 ) 

我 们 寻找 一 个 程序 来 确定 MD, w) 的 值 ， 其 中 忆 是 一 个 表示 图 灵机 的 二 进 制 位 有 限 序 
列 , 是 表示 图 灵机 输入 的 二 进 制 位 有 限 序 列 。 如 果 输 入 w 时 图 灵机 妃 停 机 ， 那 么 结果 
h(D, w) 是 YES， 如 果 其 循环 则 为 NO。 

考虑 如 下 形式 的 所 有 有 效 可 计算 函数 的 集合 : 

f: EXX — {YES, NO} 

这 些 函数 可 以 由 图 灵机 给 出 (依据 印 奇 一 图 灵 论 题 )， 因 此 ,该 类 函数 的 集合 可 以 被 枚 
Æ J fa fofa o RITKE AIAR (B.2 ) FERPA, DREN, FEEL EE 
h=fi。 

再 来 看 一 个 图 灵机 的 序列 Do Do, HP D, 是 代表 第 i 个 图 灵机 的 二 进 制 位 序列 ， 而 
Hank f(D, D)=NO，D, 停 机 ， 否 则 循环 。 由 于 所; 是 一 个 可 计算 函数 ,我们 无 疑 可 以 构造 这 
样 一 个 图 灵机 。_f, 了 i,,… 中 的 可 计算 函数 没有 一 个 可 能 等 于 函数 有 ， 因 为 该 列表 中 的 每 个 函 
数 厂 对 输入 (Di D) 都 会 给 出 错误 的 结果 。 如 果 图 灵机 D; 在 输入 为 w= D mH, WA A 
Bf WA f(D, Di)=NO， 而 h(D;, D)=YES。 由 于 可 计算 函数 的 列表 所 , Sofa PRA 
数 可 运行 ， 因 此 函数 有 就 是 不 可 计算 的 。 

E 


延伸 探讨 : 递归 函数 与 集合 
逻辑 学 家 对 可 由 图 灵机 实现 的 函数 进行 了 区 分 。 所 谓 的 全 递归 函数 (total recursive 
function) 是 这 样 的 函数 ， 实 现 该 函数 的 图 灵机 对 于 所 有 的 输入 如 EL 都 会 终止 。 偏 递 
归 函 数 ( partial recursive function) 是 指 ， 图 灵机 在 一 个 特定 输入 WELD 上 可 能 会 也 可 
能 不 会 终止 。 基 于 这 些 定义 可 知 ， 每 个 全 递归 函数 也 是 一 个 偏 递归 函数 ， 但 反之 不 成 
zx. 


逻辑 学 家 还 使 用 图 灵机 在 集合 之 间 得 出 了 一 些 有 用 的 差异 。 考 卡 自 然 数 集合 ， 以 及 
一 个 图 灵机 2={0,1} LRA w ELD 是 自然 数 的 二 进 制 编码 。 如 果 有 一 个 图 灵机 ， 其 对 
所 有 输入 w EN 都 终止 , MAAwe CH # accept, FHEwECH * 4 reject, RA 
自然 数 集合 C 就 是 一 个 可 计算 集 (或 者 说 是 递归 集 或 可 判定 集 )。 对 于 集合 巨 扩 ， 如 果 
存在 一 个 图 灵机 ， 当 且 仅 当 输入 W 在 已 中 时 终止 ， 那 么 集合 无 就 是 可 计算 可 枚 举 集 (或 
者 递归 可 枚 举 集 、 半 可 判定 集 )。 





B.4 P 和 NP 难题 


B.1 节 学 习 了 渐 近 复杂 度 ， 其 度量 特定 算法 解决 一 个 问题 的 开销 (时 间或 空间 ) 随 着 输 
入 的 规模 会 如 何 增长 。 在 本 节 ， 我 们 重点 来 看 问题 而 不 是 算法 。 我 们 感 兴趣 的 是 是 否 存在 一 
个 具有 特定 渐 近 复杂 度 的 算法 来 求解 一 个 问题 。 这 与 是 否 已 知 有 一 个 特定 复杂 度 类 的 算法 这 
一 问题 并 不 相同 。 

对 于 有 相同 渐 近 复杂 度 的 算法 的 一 类 问题 ， 它 们 的 汇集 就 形成 了 一 个 复杂 度 类 
(complexity class)。 在 本 节 ， 我 们 将 非常 简要 地 介绍 复杂 度 类 P A NP, 

首先 由 前 节 来 回顾 确定 性 图 灵机 的 概念 。 一 个 非 确定 性 图 灵机 N = (2, M) 与 它 的 确定 
性 版 本 完全 相同 ， 除 了 控制 有 限 状 态 机 M 是 非 确定 性 有 限 状 态 机 之 外 。 对 于 任何 输入 串 
w E 工 ， 一 个 非 确定 性 图 灵机 N 可 能 呈现 出 多 种 计算 。 如 果 任 何 计算 都 接受 w， 就 说 W 接 
受 w， 如 果 所 有 计算 都 拒绝 w， 就 说 N 拒绝 w。 

判定 问题 是 一 个 函数 三 : W> {YES,NO}, 其 中 WS 。 如 果 对 于 每 个 输入 w E W, 
无 论 做 出 什么 样 的 非 确定 性 选择 ， 它 的 所 有 计算 都 会 停机 ， 就 说 X 对 于 7 是 一 个 判定 程序 。 
请 注意 ， 非 确定 性 图 灵机 XN 的 一 个 特定 执行 可 能 会 给 出 错误 的 结果 。 也 就 是 说 ， 对 于 输入 
w 其 可 能 产生 NO 结果 ， 而 不 是 正确 结果 ftx)=YES。 然 而 ， 这 仍然 可 能 是 一 个 判定 程序 ， 
因为 我 们 定义 如 果 任 何 执行 产生 YES 最 终结 果 就 为 YES， 而 并 不 需要 所 有 的 执行 都 产生 
YES。 这 一 巧妙 的 方式 是 非 确 定性 图 灵机 表达 力 的 基础 。 

接受 一 个 输入 w 的 执行 被 称 为 认证 ( certificate)。 一 个 认证 可 表示 成 图 灵机 为 接受 w 所 
做 出 选择 的 一 个 有 限 列表 。 我 们 仅 需 要 一 个 有 效 认 证 就 能 知道 ftx)=YES。 

基于 上 述 定义 ， 我 们 就 可 以 来 讨论 已 和 NXP 问题 P 是 通过 确定 性 图 灵机 在 多 项 式 时 间 
内 可 判定 问题 的 集合 ， 而 NP 是 非 确 定性 图 灵机 在 多 项 式 时 间 内 可 判定 问题 的 集合 。 也 就 是 
说 ， 如 果 有 一 个 非 确定 性 图 灵机 N， 其 是 问题 的 判定 程序 且 对 于 所 有 的 输入 w E WLR 
某 个 m € N， 图 灵机 的 每 个 执行 的 时 间 复 杂 度 不 大 于 Oln"), WA SME NP 中 的 问题 。 

NP 的 另 一 个 等 价 定义 是 可 在 多 项 式 时 间 内 对 YES 结果 检查 该 认证 有 效 性 的 所 有 问题 的 
集合 。 具 体 来 讲 ， 如 果 有 一 个 非 确 定性 图 灵机 N， 其 是 问题 的 判定 程序 且 对 于 给 定 的 一 个 
输入 w 和 认证 ， 我 们 可 以 在 多 项 式 时 间 内 检查 该 认证 是 否 有 效 ( 即 ， 列 出 的 选择 是 否 的 确 使 


其 接受 w)， 那 么 /就 是 NP 中 的 问题 。 请 注意 ， 这 没有 涉及 任何 NO 结果 。 不 对 称 性 是 NP 
内 涵 的 一 部 分 。 

一 个 有 助 于 复杂 度 类 学 习 系 统 化 的 重要 概念 是 完备 性 ( completeness)， 该 概念 中 我 们 确 
定 的 问题 都 是 一 个 复杂 度 类 的 “代表 ”。 在 NP 的 上 下 文中 ， 如 果 NP 中 的 任何 其 他 问题 B 
可 在 多 项 式 时 间 内 被 归 约 (“翻译 ”) 为 问题 4， 我 们 就 说 问题 4 是 NP 难 的 (NP-hard)。 直 
观 地 ，4 和 NP 中 的 其 他 问题 “一 样 困难 ”一 一 如 果 我 们 有 一 个 用 于 4 的 多 项 式 时 间 算 法 ， 
我 们 就 可 以 通过 先 将 问题 B 的 实例 转换 为 4、 再 调用 算法 来 求解 4 的 方式 得 出 B 的 多 项 式 
时 间 算 法 。 如 果 : (i) 问题 4 在 NP 中 ,上 且 (ii) 4 是 NP 难 的 ， 就 说 问题 4 是 NP 完全 的 
(NP-complete )。 换 句 话 说 ,一 个 NP 完全 问题 是 NP 中 与 其 他 问题 一 样 困难 的 问题 。 

和 丛 人 式 系统 建 模 、 设 计 及 分 析 中 的 很 多 核心 问题 都 是 NP 完全 问题 。 这 些 问题 之 一 恰恰 
就 是 首先 要 被 证 明 为 NP 完全 的 布尔 可 满足 性 ( Boolean Satisfiability，SAT) 问题 。 布 尔 可 
满足 性 问题 是 ， 给 定 一 个 用 布尔 变量 x, x, …, x, 表达 的 命题 逻辑 公式 办， 判定 是 否 存在 着 加 
变量 的 一 个 估 值 使 得 $ (xj, x2, 7°, x,)=true。 如 果 存 在 这 样 一 个 估 值 ， 我 们 就 说 J 是 可 满足 的 ; 
否则 ， 就 说 $ 是 不 可 满足 的 。 布 尔 可 满足 性 问题 是 形式 为 f : W> {YES,NO} 的 一 个 判定 问 
题 ， 其 中 每 个 w E 丈 都 是 一 个 命题 逻辑 公式 g 的 编码 。 


给 定 如 下 命题 逻辑 公式 y: 
CG V7») A (> x, V xy V x) A Vax) 

我 们 可 以 看 到 ,设置 xj=x3=true 将 使 得 办 的 估 值 为 true。 那 么 ， 就 可 能 构造 一 个 以 该 公 
式 的 编码 为 输入 的 非 确 定性 图 灵机 ， 其 中 非 确定 性 选择 对 应 于 交 量 x 的 每 个 估 值 选择 ， 而 
且 ， 如 果 该 输入 公式 是 可 满足 的 ， 图 灵机 将 接受 该 公式 ,否则 拒绝 。 如 果 输 入 w 对 上 述 公 
RHAD, MA, WEA flx)=YES 的 认证 之 一 就 是 选择 x,=xXj=Xy=true。 

接 下 来 再 看 另 一 个 公式 ': 

(x, Vx) AC 7x, Vx) A Vm) A (7% V7 x) 

此 时 ,无 论 我 们 怎样 给 变量 x 赋予 布尔 值 ， 都 不 能 使 pf “true。 由 此 ， 当 G 是 可 满足 的 
时 ,$$ ' 就 是 不 可 满足 的 。 与 之 前 相同 的 非 确 定性 图 灵机 将 拒绝 作为 9 ' 编 码 的 输入 w'。 拒 绝 
这 个 输入 意味 着 所 有 选择 都 会 导致 在 reject 状态 中 终止 的 执行 。 


男 一 个 有 用 但 非 NP 完全 的 问题 是 检查 一 个 整数 线性 规划 (ILP) 的 可 行 性 。 通 俗 地 讲 ， 
整数 线性 规划 的 可 行 性 问题 是 找到 整数 变量 的 一 个 估 值 ， 使 得 这 些 变量 上 的 线性 不 等 式 组 中 
个 不 等 式 都 被 满足 。 
如 上 所 述 ， 既 然 布 尔 可 满足 性 问题 和 整数 线性 规划 问题 都 是 NP 完全 问题 ， 那 么 也 就 可 
以 在 多 项 式 时 间 内 将 某 个 问题 的 实例 转换 为 另 一 个 问题 的 实例 。 


GED 以 下 整 效 线性 规划 等 价 于 示例 B.6 中 公式 办 "的 布尔 可 满足 性 问题 。 
HRE xm © {0,1} 
使 得 : 
XI 一 2 0 
—X, +X, = 0 
xX, +x, 2 1 


-一 1] 
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我 们 可 以 看 到 ， 并 不 存在 xi 和 x, 的 估 值 可 以 使 上 述 不 等 式 同时 成 立 。 


NP 完全 问题 似乎 比 P 中 的 问题 更 难 ， 对 于 足够 大 的 输入 规模 ， 这 些 问 题 可 能 变 得 不 易 
求解 ， 意 味 着 实际 中 它们 是 不 可 解 的 。 一 般 而 言 ， 在 没有 给 定 认 证 的 情况 下 ， 为 了 对 某 个 w 
确定 ftx)=YES， 我 们 可 能 必须 在 找到 接受 w 的 一 个 执行 之 前 对 非 确定 性 图 灵机 的 所 有 执行 
进行 尝试 。 可 能 执行 的 数量 是 输入 规模 的 指数 级 别 。 的 确 ， 也 确实 不 存在 已 知 的 可 求解 NP 
完全 问题 的 多 项 式 时 间 算 法 。 当 然 ， 在 写作 本 书 时 也 没有 证 据 表 明 不 存在 这 样 的 算法 。 人 们 
普遍 相信 ，NP 是 较 P 严格 更 大 的 问题 集合 ,但 因 没 有 证 据 ， 我 们 也 仍 不 能 确定 。P 对 NP 
问题 是 当今 数学 领域 中 尚未 解决 的 重大 问题 之 一 。 

尽管 缺少 解决 NP 完全 问题 的 多 项 式 时 间 算 法 ,但 实践 中 许多 这 样 的 问题 已 变 得 可 以 解 
决 。 例如， 布尔 可 满足 性 问题 通常 可 以 被 很 快 地 求解 ， 而 且 出 现 了 多 个 非常 高 效 的 布尔 可 满 
足 性 求解 器 。 这 些 求解 器 使 用 了 具有 最 坏 指 数 复杂 度 的 算法 ,这 意味 着 对 于 某 些 输 入 ,它们 
可 能 需要 非常 长 的 时 间 才 能 完成 。 然 而 ， 对 于 大 多 数 输入 ， 它 们 是 可 以 快速 完成 的 。 因 此 ， 
不 能 仅 因为 一 个 问题 是 NP 完全 的 就 阻止 我 们 对 这 个 问题 的 探索 和 和 解决。 


B.5 小结 


本 附录 非常 简要 地 介绍 了 两 个 相当 大 且 相 互 关 联 的 主题 ， 即 复杂 性 和 可 计算 性 理论 。 首 
先 从 讨论 算法 复杂 度 的 度量 开始 ， 之 后 给 出 了 待 求解 问题 与 求解 问题 的 算法 之 间 的 根本 区 
别 ， 并 阐明 存在 一 些 不 能 被 求解 的 问题 。 随 后 ， 我 们 讨论 了 图 灵机 ， 其 能 够 描述 所 有 被 认为 
“可 计算 ”问题 的 求解 过 程 。 最 后 简要 地 讨论 复杂 度 类 P 和 NP， 它 们 是 可 以 被 算法 在 可 比较 
的 复杂 度 上 进行 求解 的 问题 类 。 
习题 
1. 通过 给 出 纸 带 状态 机 了 的 初始 状态 及 其 迁移 函数 update, 的 数学 描述 ， 完 善 了 的 形式 化 定义 。 
2. 有 向 无 环 图 ( Directed Acyclic Graph, DAG) 在 嵌入 式 系统 的 建 模 、 设 计 与 分 析 中 有 多 种 用 途 。 例 
如 ， 它 们 可 被 用 于 表示 任务 的 优先 序 图 ( 见 第 12 章 ) 以 及 无 循环 程序 的 控制 流 图 ( 见 第 16 章 )。 
有 向 无 环 图 上 的 一 个 常见 操作 是 对 图 中 结 点 的 拓扑 排序 。 形 式 化 地 ， 一 个 有 向 无 环 图 G=(V,E)， 
其 中 VV 是 顶点 的 集合 fw v …, v,}，E 是 边 的 集合 。G 的 一 个 拓扑 排序 (topological sort) 是 顶点 的 
线性 排序 {vis Va …, w} ， 使 得 如 果 (va v) E E( 即 从 vi 到 vw 有 一 条 有 向 的 边 )， 那 么 在 该 排序 中 顶点 
v; 出 现在 顶点 vj 之 前 。 
Kahn ( 1962 ) 提出 的 如 下 算法 对 一 个 有 向 无 环 图 中 的 顶点 进行 拓扑 排序 。 


EDD 有 向 无 环 图 中 顶点 的 拓扑 排序 

输入 : 具有 nn 个 顶点 和 m 条 边 的 有 向 无 环 图 GVE) 
输出 : 以 拓扑 排序 生成 的 图 信 中 顶点 列表 
Le 3 fi 
Se {v1v 是 一 个 没有 入 射 边 的 顶点 》 
while S 非 空 do 

Hv ASER 

将 "插入 列表 工 的 末尾 

for 每 个 顶点 wu 使 得 边 (vu) 在 EE 中 do 


小 内 上 上 mb 一 


HRB RRASTHHE 


7 建立 边 (v,u) 

8 让 所 有 到 w 的 入 射 边 都 被 标记 then 
9 将 4 添加 到 集合 5 

10 end 

11 end 

12 end 


了 包含 了 图 G 中 以 拓扑 排序 方式 生成 的 所 有 顶点 


请 使 用 大 O 符号 来 说 明 算法 B.1 的 渐 近 时 间 复 杂 度 ， 并 请 证 明 所 给 答案 的 正确 性 。 
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化 执行 特性 与 物理 世界 的 并 发 运行 特性 。 
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